Sun Java(TM) System Directory Server Aide en ligne |
Onglet Codage de la configuration du serveur
Cet onglet permet de configurer la couche d'échange sécurisée (SSL) d'un annuaire.
Activer SSL pour ce serveur. Cochez cette case pour activer les communications SSL pour l'annuaire. Décochez la case pour désactiver SSL.
Si vous désactivez SSL pour le serveur lorsque vous avez coché la case « Utiliser SSL » dans Sun Java System Server Console, cette case se décoche automatiquement et vous devez redémarrer la console.
Si vous désactivez SSL lorsqu'un suffixe contient un codage d'attribut configuré, le serveur vous demande de confirmer. SSL est requise pour le codage d'attribut et les opérations sur des attributs codés échouent lorsque SSL est désactivé.
Utiliser cette famille de cryptage. Lorsque vous avez activé SSL, cochez la case située près de la ou des familles de cryptage que le serveur doit utiliser pour les communications SSL.
Sun Java System Directory Server prend actuellement en charge deux familles de cryptage : RSA et Fortezza. Le dispositif de sécurité interne prend en charge uniquement la famille RSA. Si vous utilisez une carte Fortezza, vous pouvez voir également la famille de cryptage Fortezza répertoriée ici.
Famille de cryptage
Vous pouvez définir les options suivantes pour chaque famille de cryptage.
Dispositif de sécurité. Sélectionnez le dispositif qui effectuera les calculs de codage. Par défaut, les données sont codées en interne par le logiciel du Directory Server. D'autres choix sont disponibles dans cette liste uniquement si vous utilisez un module matériel externe.
Certificat : Sélectionnez le certificat que le serveur doit utiliser dans la liste des certificats installés. Vous devez avoir installé un certificat sur votre système pour utiliser SSL. Reportez-vous à la section « Obtenir et installer des certificats de serveur » du chapitre 11 du manuel Directory Server Administration Guide.
Paramètres de cryptage. Cliquez sur ce bouton pour ouvrir la boîte de dialogue « Préférences codage » qui permet de sélectionner les cryptages à utiliser à partir des cryptages disponibles avec le certificat choisi.
Authentification client
Les options situées sous cet en-tête déterminent si les clients doivent ou non s'authentifier avec un certificat sur SSL.
Ne pas autoriser l'authentification client. Sélectionnez cette option si vous ne voulez pas que les applications client présentent un certificat pour l'authentification.
Autoriser l'authentification client. Sélectionnez cette option si vous autorisez les applications client à se connecter au serveur à l'aide d'une simple authentification ou d'une authentification client.
Si vous utilisez une authentification basée sur le certificat avec réplication, vous devez alors sélectionner « Autoriser l'authentification client » ou « Exiger l'authentification client » sur le serveur consommateur.
Exiger l'authentification client. Sélectionnez cette option pour obliger les applications client à se connecter au serveur à l'aide d'une authentification client sur SSL. Si vous sélectionnez cette option, une simple authentification n'est pas autorisée.
Utilisez SSL dans Sun Java System Server Console. Cochez cette case si vous souhaitez sécuriser la communication entre Sun Java System Server Console et le Directory Server à l'aide de SSL.
La communication entre la Sun Java System Server Console et le serveur aura lieu sur un canal sécurisé mais sans authentification client, même si l'option « Exiger l'authentification client » est sélectionnée.
Authentification client DSML. Choisissez l'une des stratégies suivantes pour l'acceptation des requêtes DSML :
HTTP de base (utiliser l'authentification dans un en-tête HTTP). Le serveur effectuera le mappage d'identité pour déterminer le DN lié à partir des informations d'authentification dans l'en-tête HTTP de la requête. Avec ce paramètre, les requêtes DSML menant à un port HTTPS sécurisé seront codées via SSL mais n'utiliseront pas de certification client.
Essayer en premier d'utiliser un certificat client. Le serveur va tenter d'authentifier les clients à l'aide du certificat envoyé au port HTTPS sécurisé. Si l'authentification client échoue avec le certificat, le serveur effectuera un mappage d'identité à l'aide des informations d'authentification dans l'en-tête HTTP de la requête.
Utiliser uniquement un certificat client. Le client doit envoyer des requêtes DSML au port HTTPS sécurisé et fournir un certificat client valide. Toutes les autres requêtes DSML seront rejetées.
Voir également
« Configuration DSML » dans le chapitre 1 du manuel Directory Server Administration Guide.
Chapitre 11, « Mise en uvre de la sécurité », dans le Directory Server Administration Guide.