规划 LDAP 安全模型

要规划安全模型，首先应当考虑 LDAP 客户机与 LDAP 服务器通信时应使用什么身份。例如，您必须确定是希望使用企业范围内的单点登录解决方案（该方案不通过线路发送口令），还是希望基于每个用户对数据进行线路加密并能够访问目录服务器中的控制数据结果。您还必须确定是否希望使用强验证来保护通过网络传输的用户口令，以及/或者是否需要加密 LDAP 客户机与 LDAP 服务器之间的会话来保护传输的 LDAP 数据。

配置文件中的 credentialLevel 和 authenticationMethod 属性用于实现此目的。credentialLevel 有四种可能的凭证级别：anonymous、proxy 、proxy anonymous 和 self。有关 LDAP 命名服务安全概念的详细讨论，请参见LDAP 命名服务安全模型。

注 - 以前，如果启用了 pam_ldap 帐户管理，所有用户在每次登录系统时都必须提供登录口令以进行验证。因此，使用 rsh、rlogin 或 ssh 等工具进行的不基于口令的登录将会失败。

但是现在，pam_ldap(5) 与 Sun Java System Directory Servers DS5.2p4 及更高发行版配合使用时，用户可以使用 rsh、rlogin、rcp 和 ssh 登录，而不需要提供口令。

pam_ldap(5) 现已修改为执行帐户管理和检索用户帐户状态，而不需要用户在登录时向目录服务器进行身份验证。目录服务器上对这一操作的新的控制为 1.3.6.1.4.1.42.2.27.9.5.8，它在缺省情况下是启用的。

要将此控制从缺省状态修改为其他状态，请在目录服务器上添加访问控制指令 (Access Control Instructions, ACI)：

dn: oid=1.3.6.1.4.1.42.2.27.9.5.8,cn=features,cn=config
objectClass: top
objectClass: directoryServerFeature
oid:1.3.6.1.4.1.42.2.27.9.5.8
cn:Password Policy Account Usable Request Control
aci: (targetattr != "aci")(version 3.0; acl "Account Usable"; 
     allow (read, search, compare, proxy)
     (groupdn = "ldap:///cn=Administrators,cn=config");)
creatorsName: cn=server,cn=plugins,cn=config
modifiersName: cn=server,cn=plugins,cn=config

注 - 如果您启用 pam_krb5 和 Kerberos 作为企业范围内的单点登录解决方案，可以设计一个仅在启动会话时需要提供一次登录口令的系统。有关详细信息，请参见《系统管理指南：安全性服务》。如果您启用了 Kerberos，通常也需要启用 DNS。有关详细信息，请参见本手册中有关 DNS 的各章。

下面列出了在规划安全模型时需要做出的主要决策。

是否要使用 Kerberos 和按用户验证？
LDAP 客户机将使用哪个凭证级别以及哪些验证方法？
是否要使用 TLS？
是否需要与 NIS 或 NIS+ 向后兼容？也就是说，客户机是要使用 pam_unix 还是 pam_ldap？
如何设置服务器的 passwordStorageScheme 属性？
如何设置访问控制信息？

有关 ACI 的更多信息，请查阅所用的 Sun Java System Directory Server 版本的管理指南。
客户机是要使用 pam_unix 还是 pam_ldap 进行帐户管理？

跳过导航链接
退出打印视图
	系统管理指南：命名和目录服务（DNS、NIS 和 LDAP） Oracle Solaris 10 8/11 Information Library (简体中文)