4.2 配置安全 Identity Manager 数据传送

可以通过 SSL 来确保所有 eDirectory 驱动程序通信的安全。 要配置您的 eDirectory 系统以便安全传送 Identity Manager 数据,请运行 Novell iManager 中的 NDS2NDS 向导。

4.2.1 了解 eDirectory 驱动程序安全性

下列各项可帮助您了解 eDirectory 驱动程序安全性:

  • 此驱动程序使用 SSL 套接字提供鉴定和安全连接。SSL 使用数字证书,从而使 SSL 连接中的各方可以相互鉴定。Identity Manager 也可以使用 Novell Certificate Server 证书对敏感数据进行安全管理。
  • 要使用此驱动程序,每棵树都必须运行 Novell Certificate Server。建议您使用包含驱动程序的某棵树中的证书授权者,以颁发用于 SSL 的证书。如果您的树没有证书授权者,则需要创建一个。可以使用外部证书授权者。
  • 驱动程序使用的 SSL 的 Novell 实施基于 eDirectory 8.7.x 的 eDirectory 和 NTLS 的 Novell 安全鉴定服务 (SAS)。 必须在运行驱动程序的服务器上安装和配置它们。eDirectory 通常会自动完成此操作。
  • 要配置驱动程序安全性,需要创建和参考要使用驱动程序进行连接的 eDirectory 树中的证书。eDirectory 中的证书对象称为《密钥材料对象》(KMO),因为这些对象可以安全地保存证书数据(包括公共密钥)以及与证书相关联的私用密钥。

    必须至少创建两个 KMO(每棵树一个 KMO),以便用于 Identity Manager Driver for eDirectory。 本节说明每棵树使用一个 KMO 的情况。

    NDS2NDS 驱动程序证书向导可设置 KMO。

  • 有关详细信息,请参见:

4.2.2 设置 KMO

配置 Identity Vault 系统以便安全传送 Identity Manager 数据:

  1. 找到目标服务器的树名或 IP 地址。

  2. 启动 iManager 并鉴定到第一棵树。

  3. 单击《Identity Manager 实用程序》>《NDS2NDS 驱动程序证书》

  4. 在《欢迎使用》页上,输入第一棵树请求的信息。

    启动 iManager 时,会使用所鉴定树中的对象提供默认值。 您必须输入或确认下列信息:

    • 驱动程序 DN: 键入 eDirectory 驱动程序的判别名(例如,EDir-Workforce.Employee Provisioning.Services.YourOrgName)。
    • 树名: 指定 Workforce 树的 IP 地址。
    • 具有 Admin 特权的帐户的用户名(例如,Admin)。
    • 该用户的口令。
    • 用户的环境(例如,Services.YourOrgName)。

  5. 单击《下一步》

    向导使用您输入的信息来鉴定到第一棵树,校验驱动程序 DN,并校验驱动程序是否与服务器关联。

  6. 指定第二棵树请求的信息。

    在《欢迎使用》页上,输入第一棵树请求的信息。

    指定或确认下列信息:

    • 驱动程序 DN: 键入 eDirectory 驱动程序的判别名(例如,EDir-Account.DriverSet.YourOrgName)。
    • 树名: 键入 Account 树的树名或 IP 地址。
    • 具有 Admin 特权的帐户的用户名(例如,Admin)。
    • 该用户的口令。
    • 用户的环境(例如,London.YourOrgName)。

  7. 单击《下一步》

    向导使用您输入的信息来鉴定到第二棵树,校验驱动程序 DN,并校验驱动程序是否与服务器关联。

  8. 查看《摘要》页上的信息,然后单击《完成》

    如果这些树中已包含 KMO,则向导会删除它们然后执行下列操作:

    • 导出第一棵树中 CA 的可信根。
    • 创建 KMO 对象。
    • 发出证书签名请求。
    • 将证书的密钥对名称放到驱动程序的《鉴定 ID》中。