輕量型目錄存取協定 (LDAP)

ZFSSA 使用 LDAP 來認證管理使用者和部分資料服務使用者 (ftp、http)。ZFSSA 支援 LDAP over SSL 安全。LDAP 可用來擷取使用者和群組的相關資訊，其使用方式如下：

• 提供用以接受及顯示使用者和群組名稱的使用者介面。

• 針對使用名稱的資料協定 (例如 NFSv4) 提供使用者和群組名稱的對應。

• 定義存取控制中使用的群組成員身分。

• (選擇性) 攜帶用於管理和資料存取認證的認證資料。

LDAP 連線可以作為認證機制使用。例如，當使用者嘗試向 ZFSSA 認證時，ZFSSA 可以嘗試向 LDAP 伺服器認證該使用者，這就是使用 LDAP 連線來驗證使用者認證的機制。

LDAP 連線安全有多種控制方式：

• 設備到伺服器認證：

  • 設備為匿名

  • 設備利用使用者的 Kerberos 證明資料進行認證

  • 設備利用指定的「代理」使用者和密碼進行認證

• 伺服器到設備的認證 (確認連線至正確的伺服器)：

  1. 不受保護

  2. 伺服器使用 Kerberos 進行認證

  3. 伺服器使用 TLS 憑證進行認證

如果使用的是 Kerberos 或 TLS，則透過 LDAP 連線攜帶的資料會經過加密，除此之外則不會加密。使用 TLS 時，於配置期間進行的第一次連線不是安全連線。伺服器的憑證會在該期間收集，並用來認證後續的實際執行連線。

您無法匯入一個用來認證多個 LDAP 伺服器的「憑證授權機構」憑證；也無法手動匯入特定 LDAP 伺服器的憑證。

只支援原始 TLS (LDAPS)。不支援 STARTTLS 連線 (此連線會在不安全的 LDAP 連線上開始，然後變更為安全的連線)。不支援需要用戶端憑證的 LDAP 伺服器。