要规划安全模型,首先应当考虑 LDAP 客户机与 LDAP 服务器通信应使用的身份。例如,必须确定是否希望使用强验证来防止用户口令通过网络传输,以及/或者是否需要加密 LDAP 客户机与 LDAP 服务器之间的会话以保护传输的 LDAP 数据。
可以使用配置文件中的 credentialLevel 和 authenticationMethod 属性实现此目的。credentialLevel 有三种可能的凭证级别:anonymous、proxy 和 proxy anonymous。 有关 LDAP 名称服务安全概念的详细讨论,请参见LDAP 名称服务安全模型。
如果启用 pam_ldap 帐户管理,则所有用户每次登录到系统时都必须提供口令。进行验证时必须提供登录口令。因此,如果启用了 pam_ldap,则使用 rsh、rlogin 或 ssh 等工具进行的不基于口令的登录将会失败。
LDAP 客户机将使用哪个凭证级别以及哪些验证方法?
是否要使用 TLS?
是否需要与 NIS 或 NIS+ 向后兼容?换句话说,客户机是要使用 pam_unix 还是 pam_ldap?
如何设置服务器的 passwordStorageScheme 属性?
如何设置访问控制信息?
有关 ACI 的更多信息,请查阅所用的 Sun Java System Directory Server 版本的管理指南。