設定 LDAP 驗證 › 使用 GSSAPI 將 LDAP 伺服器連線加密

使用 GSSAPI 將 LDAP 伺服器連線加密

CA 單一登入可支援使用 DIGEST-MD5 或 GSSAPI 的加密連線。 使用與目錄伺服器的加密連線時，您不需要使用服務帳戶繫結至 LDAP 伺服器 (您在單一登入配置工具中設定的 UserBind 參數)。

若要使用 GSSAPI 進行加密，您必須變更配置檔案中的某些設定。

請依循下列步驟:

1. 登入已安裝 CA Performance Center 或 CA 資料來源產品的伺服器。

   以 root 使用者身分或「sudo」命令登入。

2. 切換至下列目錄：

   [安裝目錄]/webapps/sso/Configuration/
   

3. 開啟該目錄中的 krb5.conf 檔案進行編輯。
4. 設定下列必要的參數：

   [libdefaults]
           default_realm = CA.COM
   [realms]
           CA.COM  = {
                  kdc = EXAMPLE.CA.COM
                  default_domain = CA.COM
   }
   
   [domain_realm]
          .CA.COM = CA.COM
   }
   

   其中：

   [libdefaults]

   包含 Kerberos V5 程式庫的預設值。

   default_realm

   將子網域及網域名稱對應於 Kerberos 領域名稱。 讓程式按照主機的完整網域名稱決定主機的領域。 在此範例中，預設領域是 CA.COM。

   領域

   包含 Kerberos 領域名稱的資訊，這說明 Kerberos 伺服器的位置，並包含其他領域特定的資訊。

   kdc

   是支援驗證服務的 Kerberos 金鑰散佈中心。 例如，EXAMPLE.CA.COM。

   default_domain

   是預設的 IP 網域。 例如，CA.COM。

   附註：Active Directory 或 LDAP 管理員或許可以提供 krb5.conf 檔案，或協助您建立該檔案。

5. 儲存變更。
6. 現在，遵循啟用含加密機制的 LDAP 驗證中的步驟，對 CA 單一登入來配置 LDAP 驗證。