Inhalt      Index     
Sun Java(TM) System Directory Server Online-Hilfe



Registerkarte „Verschlüsselung“ für die Serverkonfiguration

Verwenden Sie diese Registerkarte, um für Ihr Verzeichnis Secure Socket Layer (SSL) zu konfigurieren.

SSL für diesen Server aktivieren. Aktivieren Sie dieses Kontrollkästchen, um für das Verzeichnis die SSL-Kommunikation zu aktivieren. Deaktivieren Sie das Kontrollkästchen, um SSL zu deaktivieren.

Wenn Sie SSL für den Server deaktivieren und das Kontrollkästchen SSL in der Sun Java(TM) System Server-Konsole verwenden“ aktiviert haben, wird dieses Kontrollkästchen automatisch deaktiviert und Sie müssen die Konsole neu starten.

Wenn Sie SSL deaktivieren und für ein Suffix die Attributsverschlüsselung konfiguriert haben, werden Sie zu einer Bestätigung aufgefordert. SSL ist für die Attributsverschlüsselung erforderlich. Alle Vorgänge auf verschlüsselten Attributen schlagen bei deaktiviertem SSL fehl.

Diese Verschlüsselungsfamilie verwenden. Bei aktiviertem SSL aktivieren Sie die Kontrollkästchen neben den Verschlüsselungsfamilien, die der Server für die SSL-Kommunikation verwenden soll.

Sun Java(TM) System Directory Server unterstützt derzeit zwei Verschlüsselungsfamilien: RSA und Fortezza. Das interne Sicherheitsgerät unterstützt nur RSA. Wenn Sie eine Fortezza-Karte verwenden, ist hier auch die Fortezza-Verschlüsselungsfamilie aufgelistet.

Verschlüsselungsfamilie

Für jede Verschlüsselungsfamilie können Sie die nachfolgenden Optionen einstellen.

Sicherheitsgerät. Wählen Sie das Gerät aus, das die Verschlüsselungsberechnungen durchführen soll. Standardmäßig werden die Daten intern von der Directory-Server-Software verschlüsselt. Andere Optionen in dieser Liste sind nur verfügbar, wenn Sie ein externes Hardwaremodul verwenden.

Zertifikat. Wählen Sie aus der Liste der installierten Zertifikate das Zertifikat aus, das der Server verwenden soll. Für die Verwendung von SSL müssen Sie auf Ihrem System ein Zertifikat installiert haben (siehe auch „Obtaining and Installing Server Certificates“ in Kapitel 11 im Directory Server Administrationshandbuch).

Verschlüsselungseinstellungen. Klicken Sie auf diese Schaltfläche, um das Dialogfeld „Verschlüsselungseinstellungen“ zu öffnen. Hier können Sie aus den mit dem jeweils eingestellten Zertifikat verfügbaren Verschlüsselungsmöglichkeiten auswählen.

Client-Authentifizierung

Die Optionen unter dieser Überschrift bestimmen, ob Clients mit einem Zertifikat über SSL authentifiziert werden müssen oder nicht.

  • Client-Authentifizierung nicht zulassen. Wählen Sie diese Option, wenn Client-Anwendungen kein Zertifikat zur Authentifizierung vorweisen müssen.

  • Client-Authentifizierung zulassen. Wählen Sie diese Option, wenn Client-Anwendungen entweder über die einfache oder die Client-Authentifizierung eine Verbindung zum Server herstellen sollen.

  • Wenn Sie die zertifikatbasierte Authentifizierung mit der Replikation verwenden, müssen Sie auf dem Verbraucherserver entweder „Client-Authentifizierung zulassen“ oder „Client-Authentifizierung erforderlich“ auswählen.

  • Client-Authentifizierung erforderlich. Wählen Sie diese Option, wenn Client-Anwendungen nur über die Client-Authentifizierung und SSL eine Verbindung zum Server herstellen dürfen. Bei Auswahl dieser Option ist die einfache Authentifizierung nicht gestattet.

SSL verwenden in Sun Java(TM) System Server-Konsole. Aktivieren Sie dieses Kontrollkästchen, wenn die Kommunikation zwischen der Sun Java(TM) System Server-Konsole und dem Directory-Server durch die Verwendung von SSL gesichert werden soll.

Die Kommunikation zwischen der Sun Java(TM) System Server-Konsole und dem Server findet über einen sicheren Kanal statt. Hierbei wird jedoch keine Client-Authentifizierung durchgeführt. Dies gilt auch dann, wenn die Option „Client-Authentifizierung erforderlich“ ausgewählt wurde.

DSML-Client-Authentifizierung. Wählen Sie eine der folgenden Richtlinien für das Akzeptieren von DSML-Anforderungen:

  • HTTP-Standard (Authentifizierung in HTTP-Header verwenden). Der Server führt eine Identitätszuordnung durch, um anhand der Authentifizierungsinformationen im HTTP-Header der Anfrage den Verbindungs-DN zu ermitteln. Mit dieser Einstellung werden DSML-Anforderungen an einen sicheren HTTPS-Anschluss über SSL verschlüsselt, die Client-Authentifizierung wird jedoch nicht verwendet.

  • Zunächst Client-Zertifikat verwenden. Der Server versucht zunächst, Clients mithilfe des an den sicheren HTTPS-Anschluss gesendeten Zertifikats zu authentifizieren. Wenn die Client-Authentifizierung mit dem Zertifikat fehlschlägt, führt der Server anhand der Authentifizierungsinformationen im HTTP-Header der Anfrage eine Identitätszuordnung durch.

  • Nur Client-Zertifikat verwenden. Der Client muss DSML-Anfragen an den sicheren HTTPS-Anschluss senden und ein gültiges Client-Zertifkat vorweisen. Alle anderen DSML-Anfragen werden abgelehnt.

Siehe auch

„Configuring DSML“ in Kapitel 1 im Directory Server Administrationshandbuch.

Kapitel 11, „Implementing Security“, im Directory Server Administrationshandbuch.


Inhalt      Index     
Copyright 2005 Sun Microsystems, Inc. Alle Rechte vorbehalten.