Pour la sécurité des opérations LDAP qui traitent les demandes d'informations d'annuaire, vous devez prendre en compte les éléments suivants :
La manière dont les clients s'identifient pour accéder aux informations. Le mode d'identification est déterminé par le niveau d'identification que vous avez spécifié pour ces clients. Le niveau de justificatif d'identité est géré par l'attribut credentialLevel, auquel vous pouvez assigner l'une des valeurs suivantes :
anonymous
proxy
proxy anonymous
self
Pour des descriptions détaillées de chacune de ces valeurs, reportez-vous à la section Niveaux d'identification client.
La méthode d'authentification du client. La méthode que vous spécifiez est gérée par l'attribut authenticationMethod. Vous pouvez spécifier la méthode d'authentification en attribuant l'une des options suivantes :
none
simple
sasl/digest-MD5
sasl/cram-MD5
sasl/GSSAPI
tls:simple
tls:sasl/cram-MD5
tls:sasl/digest-MD5
Pour des descriptions détaillées de chacune de ces valeurs, reportez-vous à la section Méthodes d'authentification pour le service de noms LDAP.
Outre le niveau d'identification assigné aux clients et la méthode d'authentification à utiliser, vous devez également prendre en considération les éléments suivants :
La nécessité d'utiliser Kerberos et l'authentification par utilisateur
La valeur à spécifier pour l'attribut passwordStorageScheme du serveur
La configuration des informations de contrôle d'accès
Pour plus d'informations sur les ACI, reportez-vous au guide d'administration de la version d'Oracle Directory Server Enterprise Edition que vous utilisez.
La nécessité d'utiliser le module pam_unix_* ou le module pam_ldap pour la gestion du compte LDAP.
Cette considération est liée à la compatibilité du service de noms LDAP avec NIS.