Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Trabajo con servicios de nombres y directorios en Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Español) |
Parte I Acerca de los servicios de nombres y directorios
1. Servicios de nombres y directorios (descripción general)
2. Conmutador de servicio de nombres (descripción general)
4. Configuración de clientes de Active Directory de Oracle Solaris (tareas)
Parte II Configuración y administración de NIS
5. Servicio de información de red (descripción general)
6. Instalación y configuración del servicio NIS (tareas)
7. Administración de NIS (tareas)
8. Resolución de problemas de NIS
Parte III Servicios de nombres LDAP
9. Introducción a los servicios de nombres LDAP (descripción general)
10. Requisitos de planificación para servicios de nombres LDAP (tareas)
Descripción general de la planificación de LDAP
Planificación del modelo de red LDAP
Planificación del árbol de información de directorios
Varios servidores de directorios
Uso compartido de los datos con otras aplicaciones
Selección del sufijo del directorio
Planificación de perfiles de cliente y valores de atributo predeterminados para LDAP
Planificación para completar los datos de LDAP
Cómo rellenar un servidor con entradas host mediante el comando ldapaddent
11. Configuración de Oracle Directory Server Enterprise Edition con clientes LDAP (tareas)
12. Configuración de clientes LDAP (tareas)
13. Resolución de problemas de LDAP (referencia)
14. Servicio de nombres LDAP (Referencia)
Para planificar el modelo de seguridad, primero, debe tener en cuenta la identidad que el cliente LDAP debe utilizar para hablar con el servidor LDAP. Por ejemplo, debe decidir si desea una solución de inicio de sesión único para toda la empresa, sin contraseñas que se envíen por transferencia, o la transferencia cifrada de datos y la posibilidad de acceder a los resultados de datos de control desde servidor de directorios de cada usuario. También se debe decidir si desea una autenticación más segura para proteger la contraseña del usuario durante la transferencia o si se debe cifrar la sesión entre el cliente LDAP y el servidor LDAP para proteger los datos de LDAP transmitidos.
Los atributos credentialLevel y authenticationMethod en el perfil se utilizan para esto. Existen cuatro posibles niveles de credenciales para credentialLevel: anonymous, proxy, proxy anonymous y self. Consulte Modelo de seguridad de servicios de nombres LDAP para obtener información más detallada de los conceptos de seguridad del servicio de nombres LDAP.
Nota - Antes, si se activaba la gestión de cuentas pam_ldap, todos los usuarios debían proporcionar una contraseña de inicio de sesión para la autenticación en cualquier momento que iniciaran sesión en el sistema. Por lo tanto, los inicios de sesión que no se basan en contraseña realizados con herramientas, como ssh, fallarán.
Realice la gestión de cuentas y recupere el estado de la cuenta de los usuarios sin autenticarse en el servidor de directorios como el usuario que inicia sesión. El nuevo control en el servidor de directorios es 1.3.6.1.4.1.42.2.27.9.5.8 , que está activado de manera predeterminada.
Para cambiar este control por otro que no sea el predeterminado, agregue las instrucciones de control de acceso (ACI) en el servidor de directorios:
dn: oid=1.3.6.1.4.1.42.2.27.9.5.8,cn=features,cn=config objectClass: top objectClass: directoryServerFeature oid:1.3.6.1.4.1.42.2.27.9.5.8 cn:Password Policy Account Usable Request Control aci: (targetattr != "aci")(version 3.0; acl "Account Usable"; allow (read, search, compare, proxy) (groupdn = "ldap:///cn=Administrators,cn=config");) creatorsName: cn=server,cn=plugins,cn=config modifiersName: cn=server,cn=plugins,cn=config
Nota - Si activa pam_krb5 y Kerberos como una solución de inicio de sesión único para toda la empresa, puede diseñar un sistema en el que sólo sean necesarias las contraseñas de inicio de sesión al principio de una sesión. Consulte Administración de Oracle Solaris 11.1: servicios de seguridad para obtener más información. Si activa Kerberos, por lo general, también deberá activar DNS. Consulte los capítulos sobre DNS en este manual para obtener más información.
Las principales decisiones que hay que tomar al planificar el modelo de seguridad son las siguientes.
¿Utilizará Kerberos y la autenticación por usuario?
¿Qué nivel de credencial y qué métodos de autenticación utilizarán los clientes LDAP?
¿Utilizará TLS?
¿Necesita tener compatibilidad con versiones anteriores de NIS? En otras palabras, ¿los clientes utilizan el módulo pam_unix_* o pam_ldap?
¿Cuál será la configuración del atributo passwordStorageScheme de los servidores?
¿Cómo configurará la información de control de acceso?
Para obtener más información sobre ACI, consulte la Guía de administración para la versión de Oracle Directory Server Enterprise Edition que está utilizando.
¿Los clientes utilizan el módulo pam_unix_* o pam_ldap para realizar la gestión de cuentas de LDAP?