跳过导航链接 | |
退出打印视图 | |
在 Oracle Solaris 11.1 中使用命名和目录服务 Oracle Solaris 11.1 Information Library (简体中文) |
4. 设置 Oracle Solaris Active Directory 客户机(任务)
如何使用 ldapaddent 命令向服务器置备 host 项
11. 为使用 LDAP 客户机设置 Oracle Directory Server Enterprise Edition(任务)
要规划安全模型,首先应当考虑 LDAP 客户机与 LDAP 服务器通信时应使用什么身份。例如,您必须确定是希望使用企业范围内的单点登录解决方案(该方案不通过线路发送口令),还是希望基于每个用户对数据进行线路加密并能够访问目录服务器中的控制数据结果。您还必须确定是否希望使用强验证来保护通过网络传输的用户口令,以及/或者是否需要加密 LDAP 客户机与 LDAP 服务器之间的会话来保护传输的 LDAP 数据。
配置文件中的 credentialLevel 和 authenticationMethod 属性用于此用途。credentialLevel 有四种可能的凭证级别:anonymous、proxy、proxy anonymous 和 self。有关 LDAP 命名服务安全概念的详细讨论,请参见LDAP 命名服务安全模型。
注 - 以前,如果启用了 pam_ldap 帐户管理,所有用户在每次登录系统时都必须提供登录口令以进行验证。因此,使用 ssh 等工具的非基于口令的登录将失败。
在用户登录时,在不向目录服务器进行验证的情况下执行帐户管理并检索用户的帐户状态。目录服务器上的新控件是 1.3.6.1.4.1.42.2.27.9.5.8,它在缺省情况下是启用的。
要将此控制从缺省状态修改为其他状态,请在目录服务器上添加访问控制指令 (Access Control Instructions, ACI):
dn: oid=1.3.6.1.4.1.42.2.27.9.5.8,cn=features,cn=config objectClass: top objectClass: directoryServerFeature oid:1.3.6.1.4.1.42.2.27.9.5.8 cn:Password Policy Account Usable Request Control aci: (targetattr != "aci")(version 3.0; acl "Account Usable"; allow (read, search, compare, proxy) (groupdn = "ldap:///cn=Administrators,cn=config");) creatorsName: cn=server,cn=plugins,cn=config modifiersName: cn=server,cn=plugins,cn=config
注 - 如果您启用 pam_krb5 和 Kerberos 作为企业范围内的单点登录解决方案,可以设计一个仅在启动会话时需要提供一次登录口令的系统。有关详细信息,请参见《Oracle Solaris 11.1 管理:安全服务》。如果您启用了 Kerberos,通常也需要启用 DNS。有关详细信息,请参见本手册中有关 DNS 的各章。
下面列出了在规划安全模型时需要做出的主要决策。
是否要使用 Kerberos 和按用户验证?
LDAP 客户机将使用哪个凭证级别以及哪些验证方法?
是否要使用 TLS?
您是否需要向后兼容 NIS?换句话说,客户机是否将使用 pam_unix_* 或 pam_ldap 模块?
如何设置服务器的 passwordStorageScheme 属性?
如何设置访问控制信息?
有关 ACI 的更多信息,请查阅所用的 Oracle Directory Server Enterprise Edition 版本的管理指南。
客户机将使用 pam_unix_* 还是 pam_ldap 模块来执行 LDAP 帐户管理?