2.3 解决安全问题
要考虑的主要安全问题是鉴定、加密和远程装载程序的使用。 如果您具有 Windows 2003 或 Windows 2000 SP3 或更高版本,可以考虑使用一种称为《签名》的安全选项。 请参见安全性参数中的《使用签名》。
在管理安全性方面不可能有简单的方案,因为 Windows 提供的安全简报根据 Service Pack、DNS 服务器基础结构、域策略以及服务器上的本地策略设置的不同而不同。 以下各节将说明各个安全选项,并提供建议的配置。 实施驱动程序和升级组件时,请特别注意安全性。
2.3.1 鉴定方法
通过鉴定,可以让 Active Directory 识别驱动程序 Shim,甚至可以让本地计算机识别驱动程序 Shim。 要鉴定到 Active Directory,可以使用《协商》方法或《简单》(简单联结)方法。
2.3.2 加密
SSL 可加密数据。 根据配置,可以在两个地方使用 SSL:
- Active Directory 驱动程序和域控制器之间
- Identity Vault 和运行 Active Directory 驱动程序的远程装载程序之间
口令同步发生在 Active Directory 和 Identity Vault (eDirectory) 之间。 需确保对跨越网络的任何通讯使用 SSL。
如果 Metadirectory 引擎、Identity Vault、Active Directory 驱动程序和 Active Directory 在同一台计算机上,则不需要 SSL。 通讯不跨越网络。
但是,如果使用成员服务器上的 Active Directory 驱动程序 Shim 来远程访问 Active Directory,则需要在 Active Directory 驱动程序 Shim 和 Active Directory 之间设置 SSL。 要完成此设置,可以在驱动程序配置中将 SSL 参数设置为《是》。请参见Section 2.3.3, 远程装载程序和 Identity Manager 之间的 SSL 连接中的Step 5。
如果在域控制器上使用远程装载程序,则可以在 Metadirectory 引擎和远程装载程序之间设置 SSL。 有关 SSL 和远程装载程序的更多信息,请参见《Novell Identity Manager 3.0 Administration Guide》(Novell Identity Manager 3.0 管理指南)中的《Setting Up a Connected System》(设置已连接系统)。
下表概括了在Section 2.2, 计划安装中介绍的每种方案中,哪些地方可以用到 SSL 连接:
Table 2-2 SSL 连接
Active Directory 驱动程序和域控制器之间的 SSL 连接
要与 Active Directory 域控制器建立 SSL 连接,必须进行设置以使用 SSL。 这涉及到设置证书授权者,然后创建、导出和导入必需的证书。
设置证书授权者
大多数组织已有证书授权者。 在这种情况下,需要导出有效的证书,然后将它导入到域控制器上的证书储存中。 承载驱动程序 Shim 的服务器必须信任该证书的颁发证书授权者所链接到的根证书授权者。
如果组织中没有证书授权者,则必须建立一个证书授权者。 Novell、Microsoft 和某些其它第三方均提供了用于建立证书授权者所必需的工具。 建立证书授权者不属于本指南介绍的范围。有关更多信息,请参见
创建、导出和导入证书
具备证书授权者以后,要使 LDAP SSL 的操作成功,必须在 LDAP 服务器上安装相应的服务器鉴定证书。 同时,承载驱动程序 Shim 的服务器必须信任颁发这些证书的授权者。 服务器和客户机都必须支持 128 位加密。
-
生成符合下列 Active Directory LDAP 服务要求的证书:
- LDAPS 证书位于本地计算机的个人证书储存中(编程上称为计算机的《MY 证书储存》)。
- 与证书匹配的私用密钥位于本地计算机的储存中,并且与证书适当地关联。
不得为私用密钥启用强私用密钥保护。
- 《增强型密钥使用》扩展包括服务器鉴定 (1.3.6.1.5.5.7.3.1) 对象标识符(又称《OID》)。
- 在下列其中一个位置显示域控制器的 Active Directory 完全限定域名(例如 DC01.DOMAIN.COM):
- 《主题》字段中的常用名 (CN)。
- 《主题备用名》扩展中的 DNS 项。
- 证书是由域控制器和 LDAPS 客户机信任的 CA 颁发的。
要建立信任,可配置客户机和服务器,以信任颁发的 CA 链接到的根 CA。
此证书允许域控制器上的 LDAP 服务进行侦听,并自动接受 LDAP 和全局编目交通的 SSL 连接。
NOTE:Microsoft 知识库文章 321051《How to Enable LDAP over SSL with a Third-Party Certificate Authority》中显示了此信息。 有关最新要求和更多信息,请查阅本文档。
-
以 Windows 2000 支持的下列其中一种标准证书文件格式导出此证书:
- 个人信息交换(PFX,又称《PKCS #12》)
- 加密消息语法标准 (PKCS #7)
- 判别编码规则 (DER) 二进制 X.509 编码
- Base64 编码 X.509
-
在域控制器上安装此证书。
下列链接包含每种受支持平台的指导:
请遵循《将证书导入本地计算机储存》中列出的指导。
-
请确保在承载驱动程序 Shim 的服务器和颁发证书的根证书授权者之间建立信任关系。
承载驱动程序 Shim 的服务器必须信任颁发证书授权者所链接到的根证书授权者。
有关为证书建立信任的更多信息,请参见《Windows 2000 Server 帮助》中的主题《建立根证书授权者信任的策略》。
-
在 iManager 中编辑驱动程序属性,然后将《使用 SSL(是/否)》选项更改为《是》。
-
重启动驱动程序。
重启动驱动程序时,将在域控制器和运行 Active Directory 驱动程序 Shim 的服务器之间协商 SSL 连接。
校验证书
要校验证书,请通过 SSL 鉴定到 AD。 使用 Windows 服务器上提供的 ldifde 命令行实用程序。 要使用 ldifde 命令,请执行下列操作:
-
打开命令行提示符
-
输入 ldifde -f output/input file -t 636 -b administrator domain password -s computerFullName
以下是为端口 636 配置了服务器的情况下,可输入的内容的示例。
ldife -f out.txt -t 636 -b administrator dxad.novell.com novell -s parent1.dxad3.lab.novell
输出将被发送到 out.txt 文件。 如果打开文件后看到 Active Directory 中列出了对象,则表示已成功地与 Active Directory 建立了 SSL 连接,并且证书有效。
2.3.3 远程装载程序和 Identity Manager 之间的 SSL 连接
如果使用的是远程装载程序,则需要在 Metadirectory 引擎和远程装载程序之间设置 SSL,同时在驱动程序和 Active Directory 之间配置设置。
有关在远程装载程序和 Identity Manager 之间建立 SSL 连接的信息,请参见《Novell Identity Manager 3.0 Administration Guide》(Novell Identity Manager 3.0 管理指南)中的《Setting Up Remote Loaders》(设置远程装载程序)。