Utilisation des services de noms et d'annuaire Oracle® Solaris 11.2 : LDAP

Quitter la vue de l'impression

Mis à jour : Juillet 2014
 
 

Considérations de sécurité

Pour la sécurité des opérations LDAP qui traitent les demandes d'informations d'annuaire, vous devez prendre en compte les éléments suivants :

  • La manière dont les clients s'identifient pour accéder aux informations. Le mode d'identification est déterminé par le niveau d'identification que vous avez spécifié pour ces clients. Le niveau de justificatif d'identité est géré par l'attribut credentialLevel, auquel vous pouvez assigner l'une des valeurs suivantes :

    • anonymous

    • proxy

    • proxy anonymous

    • self

    Pour des descriptions détaillées de chacune de ces valeurs, reportez-vous à la section Niveaux d'identification client.

  • La méthode d'authentification du client. La méthode que vous spécifiez est gérée par l'attribut authenticationMethod. Vous pouvez spécifier la méthode d'authentification en attribuant l'une des options suivantes :

    • none

    • simple

    • sasl/digest-MD5

    • sasl/cram-MD5

    • sasl/GSSAPI

    • tls:simple

    • tls:sasl/cram-MD5

    • tls:sasl/digest-MD5

    Pour des descriptions détaillées de chacune de ces valeurs, reportez-vous à la section Méthodes d'authentification pour le service de noms LDAP.

Outre le niveau d'identification assigné aux clients et la méthode d'authentification à utiliser, vous devez également prendre en considération les éléments suivants :

  • La nécessité d'utiliser Kerberos et l'authentification par utilisateur

  • La valeur à spécifier pour l'attribut passwordStorageScheme du serveur

  • La configuration des informations de contrôle d'accès

    Pour plus d'informations sur les ACI, reportez-vous au guide d'administration de la version d'Oracle Directory Server Enterprise Edition que vous utilisez.

  • La nécessité d'utiliser le module pam_unix_* ou le module pam_ldap pour la gestion du compte LDAP.

    Cette considération est liée à la compatibilité du service de noms LDAP avec NIS.