LDAP-Mechanismuseigenschaften konfigurieren

Informationen zu diesem Vorgang

Wenn Sie während der Aktivierung eines LDAP-Servers die Sicherheitsoption 'Sichere Verbindung verwenden (SASL)' ausgewählt haben, müssen Sie außerdem eine Mechanismusrichtlinie angeben und die Mechanismuseigenschaften konfigurieren.

Die LDAP-Mechanismuseigenschaften und -richtlinien werden in den folgenden Tabellen ausführlicher beschrieben.

Vorgehensweise

  1. Wählen Sie im Navigationsfenster Sicherheit > LDAP aus. Die Seite 'LDAP-Konfiguration' wird angezeigt.
  2. Wählen Sie im Abschnitt 'Sicherheitsoptionen' die Option Sichere Verbindung verwenden (SASL) aus.
  3. Klicken Sie im Abschnitt 'Authentifizierung' auf Erweiterte Einstellungen. Die Optionen für Mechanismusrichtlinien und -eigenschaften werden angezeigt.
  4. Wählen Sie die entsprechenden Optionen und den entsprechenden Wert aus der Dropdown-Liste aus.

LDAP-Mechanismuseigenschaften

Mechanismuseigenschaften Beschreibung
QOP (Quality of Protection)

Benennt eine Eigenschaft, die das vom LDAP-Verzeichnisserver verwendete Datenschutzniveau (Quality of Protection) definiert. Die Eigenschaft enthält eine durch Kommas getrennte, sortierte Liste der QOP-Werte, die vom Client oder Server unterstützt werden. Die folgenden Werte sind gültige QOP-Werte:

auth
Nur mit Authentifizierung
auth-int
Authentifizierung plus Integritätsschutz
auth-conf
Authentifizierung plus Integritäts- und Datenschutz

Die Sortierung der Liste gibt die bevorzugte Reihenfolge des Clients oder Servers an. Wenn Sie keinen Wert angeben, lautet der QOP-Standardwert 'auth'.

Verschlüsselungsstärke

Benennt die Eigenschaft, die die vom LDAP-Verzeichnisserver verwendete Verschlüsselungsstärke angibt. Die Eigenschaft enthält eine durch Kommas getrennte, sortierte Liste der Werte für die Verschlüsselungsstärke, die vom Client oder Server unterstützt werden. Die folgenden Werte sind gültige Werte für die Verschlüsselungsstärke:

  • Niedrig

  • Mittel

  • Hoch

Die Sortierung der Liste gibt die bevorzugte Reihenfolge des Clients oder Servers an. In einer Implementierung haben Sie normalerweise die Möglichkeit, die Bedeutung dieser Werte zu konfigurieren. Eine Anwendung verwendet möglicherweise Java™ JCE (Java Cryptography Extension) mit JCE-sensitiven Mechanismen, um die Auswahl der Cipher-Suites zu steuern, die mit den Werten für die Verschlüsselungsstärke übereinstimmen.

Wenn Sie keinen Wert angeben, lautet der Standardwert für die Verschlüsselungsstärke 'Niedrig'.

Max. Puffergröße Gibt die maximale Größe der Empfangspuffer in Byte an. Wenn Sie keinen Wert angeben, wird die Standardgröße durch den Mechanismus definiert. Gültiger Wertebereich: 0 - 65536.
Gegenseitige Authentifizierung Benennt die Eigenschaft, die angibt, ob sich der Server beim Client authentifizieren muss. Der Eigenschaftsname enthält den Wert 'true', wenn sich der Server beim Client authentifizieren muss; ansonsten enthält er den Wert 'false'. Der Standardwert lautet 'false'.

LDAP-Mechanismusrichtlinien

Mechanismusrichtlinien Beschreibung
Forward Secrecy Benennt die Eigenschaft, die angibt, ob Mechanismen zur Implementierung von Forward Secrecy zwischen Sitzungen erforderlich sind. Forward Secrecy bedeutet, dass das Einbrechen in eine Sitzung nicht automatisch Informationen zum Einbrechen in zukünftige Sitzungen bereitstellt. Die Eigenschaft enthält den Wert 'true', wenn Mechanismen zur Implementierung von Forward Secrecy zwischen Sitzungen erforderlich sind, oder den Wert 'false', wenn diese Mechanismen nicht erforderlich sind. Der Standardwert lautet 'false'.
Client-Berechtigungsnachweise Gibt die Eigenschaft an, die festlegt, ob Mechanismen zur Übergabe von Client-Berechtigungsnachweisen erforderlich sind. Die Eigenschaft enthält den Wert 'true', wenn Mechanismen zur Übergabe von Client-Berechtigungsnachweisen erforderlich sind, und den Wert 'false', wenn diese Mechanismen nicht erforderlich sind. Der Standardwert lautet 'false'.
Anfällig für passive Attacken Benennt die Eigenschaft, die angibt, ob Mechanismen unzulässig sind, die für einfache passive Attacken anfällig sind, z. B. PLAIN. Die Eigenschaft enthält den Wert 'true', wenn diese Mechanismen unzulässig sind, und den Wert 'false', wenn diese Mechanismen zulässig sind. Der Standardwert lautet 'false'.
Anfällig für aktive Attacken Benennt die Eigenschaft, die angibt, ob Mechanismen nicht zulässig sind, die für aktive Attacken (keine Wörterbuchattacken) anfällig sind. Die Eigenschaft enthält den Wert 'true', wenn Mechanismen, die für aktive Attacken anfällig sind, unzulässig sind, und den Wert 'false', wenn diese Mechanismen zulässig sind. Der Standardwert lautet 'false'.
Anfällig für Wörterbuchattacken Benennt die Eigenschaft, die angibt, ob Mechanismen nicht zulässig sind, die für passive Wörterbuchattacken anfällig sind. Die Eigenschaft enthält den Wert 'true', wenn Mechanismen, die für Wörterbuchattacken anfällig sind, unzulässig sind, und den Wert 'false', wenn diese Mechanismen zulässig sind. Der Standardwert lautet 'false'.
Anfällig für anonyme Attacken Benennt die Eigenschaft, die angibt, ob Mechanismen nicht zulässig sind, die anonyme Anmeldungen zulassen. Die Eigenschaft enthält den Wert 'true', wenn Mechanismen, die anonyme Anmeldungen zulassen, unzulässig sind, und den Wert 'false', wenn diese Mechanismen zulässig sind. Der Standardwert lautet 'false'.