使用 dsconfigad(8) 指令可以允許、停用或要求加密 Active Directory 用戶端與伺服器間的封包。
如果使用了封包加密,依預設會使用 Kerberos 加密並簽署 Active Directory 用戶端與伺服器間的封包。若要改用 SSL,請以管理者使用者的身分在「終端機」發出以下指令:
dsconfigad -packetencrypt ssl
如果伺服器使用未受信任的憑證,那麼您需要使用「鑰匙圈存取」,將根憑證及任何必要的中繼憑證加到用戶端的系統鑰匙圈。如果要停用憑證的驗證(只能基於測試目的為之),您可以在用戶端的 /etc/openldap/ldap.conf 中,將以下這一行:
TLS_REQCERT demand
改為:
TLS_REQCERT never
。
更多內容
如需更多資訊,請在「終端機」中輸入 man dsconfigad 來查看 dsconfigad(8) 手冊頁面。