轻量目录访问协议 (Lightweight Directory Access Protocol, LDAP)

ZFSSA 使用 LDAP 来验证管理用户以及某些数据服务用户（ftp、http）。ZFSSA 支持基于 SSL 的 LDAP 安全性。LDAP 用来检索关于用户和组的信息并通过以下方式使用：

• 提供用于接受和显示用户和组的名称的用户界面。

• 对于使用名称的数据协议（例如 NFSv4），在名称与用户和组之间建立映射关系。

• 定义用于访问控制的组成员关系。

• （可选）传输用于管理和数据访问验证的验证数据。

LDAP 连接可以用作验证机制。例如，当用户尝试向 ZFSSA 验证身份时，ZFSSA 可以尝试作为该用户向 LDAP 服务器验证身份（用作确认验证的一种机制）。

对于 LDAP 连接安全性，存在各种各样的控制：

• 设备到服务器的验证：

  • 设备作为匿名用户

  • 设备使用用户的 Kerberos 凭证进行验证

  • 设备使用指定的“代理”用户和密码进行验证

• 服务器到设备的验证（确保已连接了正确的服务器）：

  1. 没有安全保护

  2. 使用 Kerberos 对服务器进行验证

  3. 使用 TLS 证书对服务器进行验证

如果使用了 Kerberos 或 TLS，则通过 LDAP 连接传输的数据是加密的，但其他情况下不是加密的。使用 TLS 时，配置时的第一个连接不是安全的。此时会收集服务器的证书并使用它来验证以后的生产连接。

无法导入要用来验证多个 LDAP 服务器的证书颁发机构证书，也不能手动导入特定 LDAP 服务器的证书。

只支持原始 TLS (LDAPS)。不支持 STARTTLS 连接，此类连接在不安全的 LDAP 连接上启动，然后转移到安全连接。不支持需要客户机证书的 LDAP 服务器。