Beim Installieren des Identitätsdepots müssen Sie die Ports angeben, die der LDAP-Server überwachen soll, sodass LDAP-Anforderungen verarbeitet werden können. Im Rahmen der standardmäßigen Konfiguration werden die Portnummern für Klartext und SSL/TLS auf 389 bzw. 636 festgelegt.
Für eine einfache LDAP-Bindung ist lediglich ein DN und ein Passwort erforderlich. Das Passwort liegt in Klartext vor. Wenn Sie Port 389 verwenden, ist das gesamte Paket in Klartext verfügbar. Da der Port 389 die Verwendung von Klartext zulässt, verarbeitet der LDAP-Server die Lese- und Schreibanforderungen an das Verzeichnis über diesen Port. Diese Offenheit eignet sich für vertrauenswürdige Umgebungen, in denen kein Spoofing auftritt und die Benutzer nicht unbefugt Pakete abfangen. Standardmäßig ist diese Option bei der Installation deaktiviert.
Die Verbindung über Port 636 ist verschlüsselt. Die Verschlüsselung wird von TLS (früher SSL) verwaltet. Bei einer Verbindung mit Port 636 wird automatisch ein Handshake instanziiert. Falls ein Fehler beim Handshake auftritt, wird die Verbindung abgelehnt.
HINWEIS:Im Installationsprogramm wird Port 636 standardmäßig für die TLS/SSL-Kommunikation ausgewählt. Diese Standardauswahl kann auf Ihrem LDAP-Server ein Problem darstellen. Wenn ein Dienst, der bereits vor der Installation von eDirectory auf dem Hostserver geladen war, den Port 636 nutzt, müssen Sie einen anderen Port angeben. Bei Installationen vor eDirectory 8.7 wurde dieser Konflikt als schwerwiegender Fehler behandelt, und nldap wurde entladen. Ab eDirectory 8.7.3 wird nldap durch das Installationsprogramm geladen, in die Datei dstrace.log wird eine Fehlermeldung eingetragen, und das Programm wird ohne den sicheren Port ausgeführt.
Während des Installationsvorgangs können Sie das Identitätsdepot so konfigurieren, dass Passwörter und andere Daten in Klartext nicht zulässig sind. Die Option TLS für einfache Bindung mit Passwort erforderlich hält die Benutzer davon ab, erkennbare Passwörter zu senden. Wenn Sie diese Einstellung nicht auswählen, ist es für die Benutzer nicht ersichtlich, dass andere Benutzer ihre Passwörter mitlesen können. Diese Option, mit der die Verbindung nicht zugelassen wird, gilt lediglich für den Klartext-Port. Wenn Sie eine sichere Verbindung mit Port 636 herstellen und eine einfache Bindung vorliegt, ist die Verbindung bereits verschlüsselt. Die Passwörter, Datenpakete und Bindungsanforderungen sind nicht einsehbar.
Betrachten Sie die folgenden Szenarien:
Frau Lehmann nutzt einen Client, der ein Passwort anfordert. Sobald Frau Lehmann das Passwort eingibt, stellt der Client eine Verbindung zum Server her. Der LDAP-Server lässt jedoch nicht zu, dass die Verbindung über den Klartext-Port eine Bindung zum Server vornimmt. Alle Benutzer können Frau Lehmanns Passwort einsehen, während sie selbst keine gebundene Verbindung erhält.
Auf dem Server wird Active Directory ausgeführt. Active Directory führt ein LDAP-Programm aus, das auf den Port 636 zugreift. Sie installieren eDirectory. Das Installationsprogramm erkennt, dass der Port 636 bereits verwendet wird, und weist dem NetIQ-LDAP-Server keine Portnummer zu. Der LDAP-Server wird geladen und wird scheinbar ausgeführt. Da der LDAP-Server einen bereits geöffneten Port nicht duplizieren und nicht verwenden kann, verarbeitet der LDAP-Server jedoch keine Anforderungen über duplizierte Ports.
Mit dem ICE-Dienstprogramm stellen Sie fest, ob dem NetIQ-LDAP-Server der Port 389 oder 636 zugewiesen ist. Wenn im Feld Herstellerversion nicht NetIQ angegeben ist, müssen Sie den LDAP-Server für eDirectory neu konfigurieren und einen anderen Port auswählen. Weitere Informationen finden Sie unter „Verifying That the LDAP Server is Running“ (Überprüfen, ob der LDAP-Server ausgeführt wird) im NetIQ eDirectory 8.8 SP8-Administrationshandbuch.
Wenn Active Directory ausgeführt wird und der Klartext-Port 389 geöffnet ist, können Sie den ICE-Befehl für Port 389 ausführen und die Herstellerversion abfragen. Im Bericht wird Microsoft* angezeigt. Anschließend konfigurieren Sie den NetIQ-LDAP-Server neu. Wählen Sie hierzu einen anderen Port aus, sodass der eDirectory-LDAP-Server die LDAP-Anforderungen verarbeiten kann.
iMonitor kann außerdem melden, ob der Port 389 oder 636 bereits geöffnet ist. Wenn der LDAP-Server nicht funktioniert, erhalten Sie mit iMonitor nähere Details. Weitere Informationen finden Sie unter „Verifying That the LDAP Server is Running“ (Überprüfen, ob der LDAP-Server ausgeführt wird) im NetIQ eDirectory 8.8 SP8-Administrationshandbuch.