ZFSSA 使用 LDAP 來認證管理使用者和部分資料服務使用者 (ftp、http)。ZFSSA 支援 LDAP over SSL 安全。LDAP 可用來擷取使用者和群組的相關資訊,其使用方式如下:
提供用以接受及顯示使用者和群組名稱的使用者介面。
針對使用名稱的資料協定 (例如 NFSv4) 提供使用者和群組名稱的對應。
定義存取控制中使用的群組成員身分。
(選擇性) 攜帶用於管理和資料存取認證的認證資料。
LDAP 連線可以作為認證機制使用。例如,當使用者嘗試向 ZFSSA 認證時,ZFSSA 可以嘗試向 LDAP 伺服器認證該使用者,這就是使用 LDAP 連線來驗證使用者認證的機制。
LDAP 連線安全有多種控制方式:
設備到伺服器認證:
設備為匿名
設備利用使用者的 Kerberos 證明資料進行認證
設備利用指定的「代理」使用者和密碼進行認證
伺服器到設備的認證 (確認連線至正確的伺服器):
不受保護
伺服器使用 Kerberos 進行認證
伺服器使用 TLS 憑證進行認證
如果使用的是 Kerberos 或 TLS,則透過 LDAP 連線攜帶的資料會經過加密,除此之外則不會加密。使用 TLS 時,於配置期間進行的第一次連線不是安全連線。伺服器的憑證會在該期間收集,並用來認證後續的實際執行連線。
您無法匯入一個用來認證多個 LDAP 伺服器的「憑證授權機構」憑證;也無法手動匯入特定 LDAP 伺服器的憑證。
只支援原始 TLS (LDAPS)。不支援 STARTTLS 連線 (此連線會在不安全的 LDAP 連線上開始,然後變更為安全的連線)。不支援需要用戶端憑證的 LDAP 伺服器。