LDAP prend en charge des fonctions de sécurité telles que l'authentification et le contrôle des accès afin de garantir l'intégrité et la confidentialité des informations fournies aux clients.
Pour accéder aux informations du premier référentiel LDAP, le client doit d'abord établir son identité auprès du serveur d'annuaire. Cette identité peut être anonyme ou celle d'un hôte ou d'un utilisateur reconnu par le serveur LDAP. En fonction de l'identité du client et des informations de contrôle d'accès (ACI) du serveur, le serveur LDAP permet au client de lire des informations d'annuaire. Pour plus d'informations sur les ACI, consultez le guide d'administration de la version d'Oracle Directory Server Enterprise Edition que vous utilisez.
Il existe deux types d'authentification :
L'authentification de proxy signifie que l'identité est basée sur l'hôte dont provient la demande. Une fois que l'hôte est authentifié, tous les utilisateurs sur cet hôte peuvent accéder au serveur d'annuaire.
L'authentification par utilisateur signifie que l'identité est basée sur chaque utilisateur. Chaque utilisateur doit être authentifié pour accéder au serveur d'annuaire et émettre différentes demandes LDAP.
Le service de module d'authentification enfichable (PAM) détermine si la connexion d'un utilisateur aboutit ou non. La base de l'authentification diffère selon le module PAM utilisé, comme indiqué dans la liste suivante :
Module pam_krb5 : le serveur Kerberos est la base de l'authentification. Pour plus d'informations sur ce module, reportez-vous à la page de manuel pam_krb5(5). Reportez-vous également au manuel Gestion de Kerberos et d’autres services d’authentification dans Oracle Solaris 11.2 , qui traite du serveur Kerberos de façon plus approfondie que ce guide.
Module pam_ldap : le serveur LDAP et l'hôte local sont utilisés comme base de l'authentification. Pour plus d'informations sur ce module, reportez-vous à la page de manuel pam_ldap(5). Pour plus d'informations sur l'utilisation du module pam_ldap, reportez-vous à Gestion des comptes LDAP.
Modules pam_unix_* équivalents : les informations sont fournies par l'hôte et l'authentification est déterminée en local.
Si le module pam_ldap est utilisé, le service de noms et le service d'authentification n'accèdent pas de la même manière à l'annuaire.
Le service de noms lit diverses entrées et leurs attributs à partir de l'annuaire en fonction de l'identité prédéfinie.
Le service d'authentification authentifie le nom et le mot de passe d'un utilisateur à l'aide du serveur LDAP pour déterminer si le mot de passe spécifié est correct.
Vous pouvez utiliser Kerberos et LDAP simultanément afin de fournir à la fois des services d'authentification et de noms au réseau. Avec Kerberos, vous pouvez prendre en charge un environnement SSO (single sign on, connexion unique) dans votre entreprise. Vous pouvez utiliser le même système d'identité Kerberos pour interroger les données de noms LDAP sur une base par utilisateur ou par hôte.
Si vous utilisez Kerberos pour effectuer l'authentification, les services de noms LDAP doivent également être activés (tel qu'exigé par le mode par utilisateur). Kerberos peut alors offrir deux fonctions. Kerberos s'authentifie auprès du serveur et l'identité Kerberos pour l'utilisateur ou l'hôte principal est utilisée pour s'authentifier auprès de l'annuaire. De cette façon, la même identité d'utilisateur utilisée pour l'authentification auprès du système est également utilisée pour s'authentifier auprès de l'annuaire pour les recherches et les mises à jour. Les administrateurs peuvent utiliser les informations de contrôle d'accès (ACI) dans l'annuaire pour limiter les résultats du service de noms.