Ignorer les liens de navigation | |
Quitter l'aperu | |
Utilisation des services de noms et d'annuaire dans Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Français) |
Partie I A propos des services d'annuaire et de noms
1. Services d'annuaire et de noms (présentation)
2. Commutateur du service de noms (présentation)
4. Configuration des clients Active Directory Oracle Solaris (tâches)
Partie II Configuration et administration NIS
5. Service d'information réseau (présentation)
6. Définition et configuration du service NIS (tâches)
7. Administration de NIS (tâches)
Partie III Service de noms LDAP
9. Introduction aux services de noms LDAP (présentation)
10. Exigences de planification pour les services de noms LDAP (tâches)
Présentation de la planification LDAP
Planification du modèle de réseau LDAP
Planification de l'arborescence des informations d'annuaire
Serveurs d'annuaires multiples
Partage de données avec d'autres applications
Planification des profils client et des valeurs d'attribut par défaut pour LDAP
Planification du renseignement de données LDAP
Remplissage d'un serveur avec des entrées host à l'aide de la commande ldapaddent
11. Configuration de Oracle Directory Server Enterprise Edition avec les clients LDAP (tâches)
12. Configuration des clients LDAP (tâches)
13. Dépannage LDAP (référence)
14. Service de noms LDAP (référence)
Pour planifier le modèle de sécurité, vous devez d'abord prendre en considération l'identité que le client LDAP doit utiliser pour communiquer avec le serveur LDAP. Par exemple, vous devez décider si vous voulez une solution de connexion unique à l'échelle de l'entreprise, sans mots de passe envoyés sur le réseau, ou le chiffrement réseau des données et la capacité, pour chaque utilisateur, d'accéder aux résultats de données de contrôle à partir du serveur d'annuaire. Vous devez également décider si vous souhaitez l'utilisation d'une authentification forte pour protéger le flux des mots de passe utilisateur sur le réseau et/ou si vous avez besoin de chiffrer la session entre le client LDAP et le serveur LDAP pour protéger les données LDAP transmises.
Les attributs credentialLevel et authenticationMethod du profil sont utilisés pour cette opération. Il existe quatre niveaux d'identification credentialLevel : anonymous, proxy , proxy anonymous et self. Pour une description détaillée des concepts de sécurité pour les services de noms LDAP, reportez-vous à la section Modèle de sécurité des services de noms LDAP.
Remarque - Auparavant, si vous activiez la gestion des comptes pam_ldap, tous les utilisateurs devaient fournir un mot de passe de connexion pour s'authentifier à chaque fois qu'ils se connectaient au système. Par conséquent, les connexions qui ne reposent pas sur des mots de passe à l'aide des outils tels que ssh échoueraient.
Effectuez la gestion des comptes et récupérez le statut du compte des utilisateurs sans authentification au serveur d'annuaire au moment de la connexion. Le nouveau contrôle sur le serveur d'annuaire est 1.3.6.1.4.1.42.2.27.9.5.8 ; il est activé par défaut.
Pour définir ce contrôle sur une autre valeur que celle par défaut, ajoutez des instructions de contrôle d'accès (ACI) sur le serveur d'annuaire :
dn: oid=1.3.6.1.4.1.42.2.27.9.5.8,cn=features,cn=config objectClass: top objectClass: directoryServerFeature oid:1.3.6.1.4.1.42.2.27.9.5.8 cn:Password Policy Account Usable Request Control aci: (targetattr != "aci")(version 3.0; acl "Account Usable"; allow (read, search, compare, proxy) (groupdn = "ldap:///cn=Administrators,cn=config");) creatorsName: cn=server,cn=plugins,cn=config modifiersName: cn=server,cn=plugins,cn=config
Remarque - Si vous activez pam_krb5 et Kerberos en tant que solution de connexion unique à l'échelle de l'entreprise, vous pouvez concevoir un système dans lequel les mots de passe de connexion sont uniquement nécessaires une fois au début d'une session. Pour plus d'informations, reportez-vous à la section Administration d’Oracle Solaris 11.1 : Services de sécurité. Si vous activez Kerberos, vous devrez en général également activer le DNS. Pour plus d'informations, reportez-vous aux chapitres sur le DNS dans le présent manuel.
Les principales décisions à prendre lors de la planification de votre modèle de sécurité sont les suivantes.
Allez-vous utiliser Kerberos et une authentification par utilisateur ?
Quel niveau d'identification et quelles méthodes d'authentification les clients LDAP doivent-ils appliquer ?
Allez-vous utiliser TLS ?
Faut-il assurer une compatibilité ascendante avec NIS ? En d'autres termes, les clients utiliseront-ils le module pam_unix_* ou pam_ldap ?
Quels seront les paramètres d'attribut passwordStorageScheme des serveurs ?
Comment allez-vous configurer les informations de contrôle d'accès ?
Pour plus d'informations sur ce sujet, consultez le Administration Guide pour la version de Oracle Directory Server Enterprise Edition dont vous disposez.
Les clients utiliseront-ils pam_unix_* ou pam_ldap pour effectuer la gestion des comptes LDAP ?