设置 LDAP 身份验证 › 使用 GSSAPI 加密与 LDAP 服务器的连接

使用 GSSAPI 加密与 LDAP 服务器的连接

CA Single Sign-On 支持使用 DIGEST-MD5 或 GSSAPI 加密的连接。 使用指向目录服务器的加密连接时，不必使用服务帐户绑定到 LDAP 服务器（在“单点登录配置”工具中设置的 UserBind 参数）。

要使用 GSSAPI 加密，您必须更改配置文件的一些设置。

遵循这些步骤:

1. 登录到安装了 CA Performance Center 或 CA 数据源产品的服务器。

   以 root 用户身份登录或使用“sudo”命令。

2. 转到以下目录：

   [安装目录]/webapps/sso/Configuration/
   

3. 在该目录中打开要编辑的 krb5.conf 文件。
4. 设置以下所需参数：

   [libdefaults]
           default_realm = CA.COM
   [realms]
           CA.COM  = {
                  kdc = EXAMPLE.CA.COM
                  default_domain = CA.COM
   }
   
   [domain_realm]
          .CA.COM = CA.COM
   }
   

   其中：

   [libdefaults]

   包含 Kerberos V5 库的默认值。

   default_realm

   将子域和域名映射到 Kerberos 领域名。 允许程序基于主机的完全限定域名确定其领域。 在此示例中，默认领域为 CA.COM。

   realms

   包含有关 Kerberos 领域名的信息，其中描述了 Kerberos 服务器的位置并包括其他一些领域特定信息。

   kdc

   是支持身份验证服务的 Kerberos 密钥分发中心。 例如 EXAMPLE.CA.COM。

   default_domain

   是默认 IP 域。 例如 CA.COM。

   注意：Active Directory 或 LDAP 管理员可能会为您提供或帮助您创建一个 krb5.conf 文件。

5. 保存更改。
6. 现在，请按照使用加密机制启用 LDAP 身份验证中的步骤，对 CA 单点登录配置 LDAP 身份验证。