4.2 設定 Identity Manager 資料傳送的安全性

所有 eDirectory 驅動程式通訊都受 SSL 保護。 若要設定 eDirectory 系統組態來處理 Identity Manager 資料傳送的安全性,請執行 Novell iManager 中的 NDS2NDS 精靈。

4.2.1 了解 eDirectory 驅動程式的安全性

下列項目可協助您了解 eDirectory 驅動程式的安全性:

  • 驅動程式會使用 SSL 插槽提供驗證及安全連接。 SSL 使用數位證書讓使用者能連接至 SSL,以驗證其他使用者。 Identity Manager 交互使用 Novell Certificate Server 證書,對機密資料進行安全管理。
  • 若要使用驅動程式,您必須讓 Novell Certificate Server 在每個網路樹中執行。 建議您使用來自其中一個含有驅動程式之網路樹的「證書權限」,發出用於 SSL 的證書。 若網路樹沒有「證書權限」,您必須先建立一個。 您可以使用外部「證書權限」。
  • Novell 在實作驅動程式所使用的 SSL 時,是根據 eDirectory 的「Novell 保全驗證服務」(Novell Secure Authentication Services,SAS) 及 eDirectory 8.7.x 的 NTLS。這些必須在執行驅動程式的伺服器上安裝及設定。eDirectory 通常會自動執行這個動作。
  • 若要設定驅動程式的安全性,必須建立和參考會利用驅動程式來連接 eDirectory 網路樹的證書。 由於物件安全地包含兩個證書資料 (包括公用金鑰) 以及與證書相關的私密金鑰,所以 eDirectory 中的證書物件通稱為「金鑰材料物件」(Key Material Objects , KMO)。

    您必須至少建立兩個 KMO (每個網路樹一個 KMO),才能與 Identity Manager Driver for eDirectory 搭配使用。 本章節說明使用每個網路樹的單一 KMO。

    「NDS2NDS 驅動程式證書精靈」會設定 KMO。

  • 如需詳細資訊:

4.2.2 設定 KMO

設定 Identity Vault 系統以處理安全的 Identity Manager 資料傳送:

  1. 找出目的伺服器的網路樹名稱或 IP 位址。

  2. 啟動 iManager,並驗證您的第一個網路樹。

  3. 按一下「Identity Manager 公用程式」>「NDS2NDS 驅動程式證書」。

  4. 在「歡迎」頁面上,輸入第一個網路樹的必要資訊。

    啟動 iManager 時,會使用所驗證之網路樹內的物件來提供預設值。 您必須輸入或確認下列資訊:

    • 驅動程式 DN: 輸入 eDirectory 驅動程式的可辨識名稱 (例如,EDir-Workforce.Employee Provisioning.Services.YourOrgName)。
    • 網路樹名稱: 指定 Workforce 網路樹的 IP 位址。
    • 具有 Admin 權限之帳戶的使用者名稱 (例如,Admin)。
    • 使用者的密碼。
    • 使用者的網路位置 (例如,Services.YourOrgName)。

  5. 按「下一步」。

    精靈會使用所輸入的資訊來驗證第一個網路樹,驗證驅動程式 DN,以及驗證驅動程式是否與伺服器關聯。

  6. 指定第二個網路樹的必要資訊。

    在「歡迎」頁面上,輸入第一個網路樹的必要資訊。

    指定或確認下列資訊:

    • 驅動程式 DN: 輸入 eDirectory 驅動程式的可辨識名稱 (例如,EDir-Account.DriverSet.YourOrgName)。
    • 網路樹名稱: 輸入 Account 網路樹的網路樹名稱或 IP 位址。
    • 具有 Admin 權限之帳戶的使用者名稱 (例如,Admin)。
    • 使用者的密碼。
    • 使用者的網路位置 (例如,London.YourOrgName)。

  7. 按「下一步」。

    精靈會使用所輸入的資訊來驗證第二個網路樹,驗證驅動程式 DN,以及驗證驅動程式是否與伺服器關聯。

  8. 檢視「摘要」頁面上的資訊,然後按一下「完成」。

    若這些網路樹已存在 KMO,則精靈會將它們刪除,並執行下列步驟:

    • 在第一個網路樹內輸出 CA 的託管根部。
    • 建立 KMO 物件。
    • 提出證書登記申請。
    • 將證書的金鑰配對名稱放置於驅動程式的「驗證 ID」中。