15.13. 配置更改日志加密
为提高安全性,目录服务器支持加密更改日志。本节介绍如何启用此功能。
先决条件
服务器必须有存储在网络安全服务(NSS)数据库中的证书和密钥。例如,在服务器上启用 TLS 加密,如 第 9.4.1 节 “在目录服务器中启用 TLS” 所述。
流程
启用 changelog 加密:
- 除了您要启用 changelog 加密的服务器外,请输入以下命令停止复制拓扑中的所有实例:
# dsctl instance_name stop
- 在您要启用 changelog 加密的服务器中:
- 将更改日志(如 /tmp/changelog.ldif 文件)导出到
/tmp/changelog.ldif
文件中:# dsconf -D "cn=Directory Manager" ldap://server.example.com replication dump-changelog -o /tmp/changelog.ldif
- 停止实例:
# dsctl instance_name stop
- 在
/etc/dirsrv/slapd-instance_name/dse.ldif
文件中的 dn: cn=changelog5,cn=config 条目中添加以下设置:nsslapd-encryptionalgorithm: AES
- 启动实例:
# dsctl instance_name start
- 从
/tmp/changelog.ldif
文件中导入更改日志:# dsconf -D "cn=Directory Manager" ldap://server.example.com replication restore-changelog from-ldif /tmp/changelog.ldif
- 使用以下命令,启动复制拓扑中的其他服务器中的所有实例:
# dsctl instance_name start
验证
要验证 changelog 是否已加密,请在带有加密更改日志的服务器上执行以下步骤:
- 在 LDAP 目录中进行更改,如更新条目。
- 停止实例:
# dsctl stop instance_name
- 输入以下命令显示 changelog 的部分内容:
# dbscan -f /var/lib/dirsrv/slapd-instance_name/changelogdb/replica_name_replGen.db | tail -50
如果更改日志加密,您只会看到加密的数据。 - 启动实例:
# dsctl start instance_name