JavaScript is required to for searching.
Ignorer les liens de navigation
Quitter l'aperu
Utilisation des services de noms et d'annuaire dans Oracle Solaris 11.1     Oracle Solaris 11.1 Information Library (Français)
search filter icon
search icon

Informations document

Préface

Partie I A propos des services d'annuaire et de noms

1.  Services d'annuaire et de noms (présentation)

2.  Commutateur du service de noms (présentation)

3.  Gestion de DNS (tâches)

4.  Configuration des clients Active Directory Oracle Solaris (tâches)

Partie II Configuration et administration NIS

5.  Service d'information réseau (présentation)

6.  Définition et configuration du service NIS (tâches)

7.  Administration de NIS (tâches)

8.  Dépannage NIS

Partie III Service de noms LDAP

9.  Introduction aux services de noms LDAP (présentation)

10.  Exigences de planification pour les services de noms LDAP (tâches)

Présentation de la planification LDAP

Planification du modèle de réseau LDAP

Planification de l'arborescence des informations d'annuaire

Serveurs d'annuaires multiples

Partage de données avec d'autres applications

Choix du suffixe d'annuaire

Serveurs de réplique et LDAP

Planification du modèle de sécurité LDAP

Planification des profils client et des valeurs d'attribut par défaut pour LDAP

Planification du renseignement de données LDAP

Remplissage d'un serveur avec des entrées host à l'aide de la commande ldapaddent

11.  Configuration de Oracle Directory Server Enterprise Edition avec les clients LDAP (tâches)

12.  Configuration des clients LDAP (tâches)

13.  Dépannage LDAP (référence)

14.  Service de noms LDAP (référence)

15.  Transition de NIS à LDAP (tâches)

Glossaire

Index

Planification du modèle de sécurité LDAP

Pour planifier le modèle de sécurité, vous devez d'abord prendre en considération l'identité que le client LDAP doit utiliser pour communiquer avec le serveur LDAP. Par exemple, vous devez décider si vous voulez une solution de connexion unique à l'échelle de l'entreprise, sans mots de passe envoyés sur le réseau, ou le chiffrement réseau des données et la capacité, pour chaque utilisateur, d'accéder aux résultats de données de contrôle à partir du serveur d'annuaire. Vous devez également décider si vous souhaitez l'utilisation d'une authentification forte pour protéger le flux des mots de passe utilisateur sur le réseau et/ou si vous avez besoin de chiffrer la session entre le client LDAP et le serveur LDAP pour protéger les données LDAP transmises.

Les attributs credentialLevel et authenticationMethod du profil sont utilisés pour cette opération. Il existe quatre niveaux d'identification credentialLevel : anonymous, proxy , proxy anonymous et self. Pour une description détaillée des concepts de sécurité pour les services de noms LDAP, reportez-vous à la section Modèle de sécurité des services de noms LDAP.


Remarque - Auparavant, si vous activiez la gestion des comptes pam_ldap, tous les utilisateurs devaient fournir un mot de passe de connexion pour s'authentifier à chaque fois qu'ils se connectaient au système. Par conséquent, les connexions qui ne reposent pas sur des mots de passe à l'aide des outils tels que ssh échoueraient.

Effectuez la gestion des comptes et récupérez le statut du compte des utilisateurs sans authentification au serveur d'annuaire au moment de la connexion. Le nouveau contrôle sur le serveur d'annuaire est 1.3.6.1.4.1.42.2.27.9.5.8  ; il est activé par défaut.

Pour définir ce contrôle sur une autre valeur que celle par défaut, ajoutez des instructions de contrôle d'accès (ACI) sur le serveur d'annuaire :

dn: oid=1.3.6.1.4.1.42.2.27.9.5.8,cn=features,cn=config
objectClass: top
objectClass: directoryServerFeature
oid:1.3.6.1.4.1.42.2.27.9.5.8
cn:Password Policy Account Usable Request Control
aci: (targetattr != "aci")(version 3.0; acl "Account Usable"; 
     allow (read, search, compare, proxy)
     (groupdn = "ldap:///cn=Administrators,cn=config");)
creatorsName: cn=server,cn=plugins,cn=config
modifiersName: cn=server,cn=plugins,cn=config


Remarque - Si vous activez pam_krb5 et Kerberos en tant que solution de connexion unique à l'échelle de l'entreprise, vous pouvez concevoir un système dans lequel les mots de passe de connexion sont uniquement nécessaires une fois au début d'une session. Pour plus d'informations, reportez-vous à la section Administration d’Oracle Solaris 11.1 : Services de sécurité. Si vous activez Kerberos, vous devrez en général également activer le DNS. Pour plus d'informations, reportez-vous aux chapitres sur le DNS dans le présent manuel.


Les principales décisions à prendre lors de la planification de votre modèle de sécurité sont les suivantes.