Администрирование в вопросах и ответах

       

Использование SSL в установках Directory assistance для LDAP Directory


Когда Вы создаете Directory Assistance, для идентификации Web клиентов, или проверки членства пользователя в группах LDAP Directory, для баз данных ACL, настоятельно рекомендуется, чтобы Вы использовали SSL, при соединении с LDAP Directory сервером.

*                    Из клиента Domino Administrator, открывайте Directory Assistance

*                    Выбирайте закладку LDAP. В поле Perform LDAP search, выбирайте - Notes Clients/Web Authentication

*                    В поле Channel encryption, выберите – SSL.

*                    В поле Port, введите номер порта, который будет использоваться для соединения с LDAP сервером. По умолчанию - 636.

*                    В поле Accept expired SSL certificates, выберите – Yes (по умолчанию), чтобы принять сертификат от LDAP Directory сервера, даже если дата сертификата истекла. Для увеличения уровня безопасности, установите значение – Yes.

*                    В поле SSL protocol version, выберите номер версии SSL протокола, чтобы использовать, его следующим образом:



Версия SSL протокола

Описание

V2.0 only

Использовать только SSL версии 2.0 соединения.

V3.0 handshake

Делается попытка использовать SSL версии 3.0 для соединения. Если попытка неудачна, пробуется SSL версии 2.0.

V3.0 only

Использовать только SSL версии 3.0.

V3.0 and V2.0 handshake

Делается попытка установить связь с использованием SSL версии 3.0, но начинается попытка с SSL версии 2.0. Если получено сообщения об ошибке, делается попытка использовать SSL версии 3.0. Используйте V3.0 и V2.0 установку Handshake, чтобы получить V2.0 сообщение об ошибке. Эти сообщения об ошибке могли бы предоставить Вам информацию относительно любых проблем совместимости, найденных в течение связи.

<
*                    В поле Verify server name with remote server's certificate установите – Enabled, чтобы требовать, проверки сертификатов и имени удаленных серверов, LDAP Directory и имени хоста. По умолчанию эта опция разрешена. Чтобы работать должным образом, удаленные сервера должны быть включены в DNS. Мы рекомендуем, чтобы Вы не запрещали этот выбор, если Вы уверены в Х.509 сертификатах с удаленных серверов, с которыми Ваш сервер соединяется, содержит удаленное имя хоста в соответствующем формате.

Обратите внимание, что Domino CA и некоторые другие CAs требуют ввода дополнительной информации пользователями. Например, Domino CA требует от каждого пользователя вводить информацию об удаленном сервере, типа, обычного названия,  имени орг. единицы, названия организации, признака страны. Domino CA размещает эту информацию в Subject Lines и добавляет соответствующую приставку (cn=, ou=, o=, и так далее) к каждому полю. Если Вы использовали Domino CA, для создания сертификата удаленного сервера, мы настоятельно рекомендуем вводить имя хоста в поле Common Name, при использовании выбора - Verify server name with remote server's certificate. Например, Domino CA позволяет пользователям вводить,  следующие имеющие значения в Subject Lines (mailserver.acme.com - DNS имя хоста сервера):

cn=mailserver.acme.com, ou=sales, ou=marketing, o=acme, st=mass, c=us

cn=mailserver, ou=sales - mailserver.acme.com o=acme, st=mass, c=us

Чтобы пользователи вводили имя хоста DNS должным образом, мы рекомендуем, чтобы они вводили его как общее имя, при требовании сертификата от Domino CA. Другие CA's могут иметь различные диалоги для ввода в поле Subject Lines; пользователи должны следить за этими диалогами, чтобы ввести в имя хоста удаленного сервера DNS.

*                    Заполните оставшиеся поля в документе Directory Assistance, сохраните его и закройте.


Содержание раздела