Le serveur LDAP authentifie les clients LDAP en fonction du niveau d'identification client. Vous pouvez affecter les niveaux d'identification suivants aux clients LDAP :
Avec le niveau d'identification anonymous, vous pouvez uniquement accéder aux données disponibles à tous les utilisateurs. Aucune opération BIND LDAP ne se produit.
Le niveau d'identification anonyme représente un risque important pour la sécurité. Tous les clients peuvent modifier les informations de la DIT pour laquelle ils disposent de l'accès en écriture, y compris le mot de passe d'un autre utilisateur ou leur propre identité. De plus, le niveau anonymous permet à tous les clients d'avoir un accès en lecture à toutes les entrées de noms et attributs LDAP.
Avec un niveau d'identification proxy, le client crée une liaison à un ensemble unique partagé d'identifications de liaison LDAP. L'ensemble partagé est également appelé compte proxy . Ce compte proxy peut être n'importe quelle entrée autorisée à effectuer une liaison à l'annuaire. Ce compte nécessite un accès suffisant pour exécuter les fonctions du service de noms sur le serveur LDAP.
Le compte proxy est une ressource partagée par système, ce qui signifie que les utilisateurs, y compris l'utilisateur root, qui sont connectés au système à l'aide d'un accès proxy ont accès aux mêmes informations. Vous devez configurer le proxyDN et les attributs proxyPassword sur chaque système client qui utilise le niveau d'identification proxy. De plus, le proxyDN doivent avoir le même proxyPassword sur tous les serveurs.
Le paramètre proxyPassword chiffré est stocké localement sur le client. Si un mot de passe est modifié pour un utilisateur proxy, vous devez le mettre à jour sur chaque système client qui utilise cet utilisateur proxy. En outre, si vous utilisez la durée de vie des mots de passe sur les comptes LDAP, assurez-vous d'exclure les utilisateurs proxy.
Vous pouvez configurer différents proxys pour différents groupes de clients. Par exemple, vous pouvez configurer un proxy qui limite l'accès des clients de ventes aux annuaires accessibles à l'ensemble de l'entreprise ou aux annuaires de ventes. L'accès aux annuaires des ressources humaines contenant des informations salariales est interdit. Ou, dans les cas extrêmes, vous pouvez affecter des proxys différents pour chaque client ou un seul serveur proxy pour tous les clients.
Si vous prévoyez de configurer plusieurs proxys pour différents clients, examinez attentivement les différents choix. Un nombre trop limité d'agents proxy est susceptible de limiter votre capacité à contrôler l'accès des utilisateurs aux ressources. Cependant, trop de proxys compliquent la configuration et la maintenance du système. Vous devez accorder les droits appropriés à l'utilisateur proxy, en fonction de votre environnement. Pour plus d'informations sur la façon de déterminer la méthode d'authentification la plus appropriée pour votre configuration, reportez-vous à la section Stockage des informations d'identification des clients LDAP.
Le niveau d'identification proxy s'applique à tous les utilisateurs et processus sur tout système spécifique. Les utilisateurs qui doivent utiliser différentes stratégies de noms doivent se connecter à différents systèmes ou utiliser le modèle d'authentification par utilisateur.
Le niveau d'identification proxy anonymous est une entrée à valeurs multiples, au sens où plusieurs niveaux d'identification sont définis. Avec ce niveau, un client attribué commence par essayer de s'authentifier à l'aide de son identité proxy. Si l'authentification échoue, par exemple à cause du verrouillage de l'utilisateur ou d'un mot de passe expiré, alors le client utilise l'accès anonyme. Selon la façon dont le répertoire est configuré, différents niveaux d'identification peuvent être associés à différents niveaux de service.
Le niveau d'identification self est aussi connu sous le nom de mode d'identification par utilisateur. Ce mode utilise l'identité Kerberos, appelée le principal, pour effectuer une recherche d'authentification pour chaque système ou utilisateur. Avec une authentification par utilisateur, l'administrateur système peut tirer parti des instructions de contrôle d'accès (ACI), des listes de contrôle d'accès (ACL), des rôles, des groupes ou d'autres mécanismes de contrôle de l'accès à l'annuaire pour accorder ou refuser l'accès à des données de services de noms spécifiques à des utilisateurs ou des systèmes spécifiques.
Pour utiliser le modèle d'authentification par utilisateur, les éléments suivants sont requis :
Déploiement du service SSO (single sign-on, connexion unique) Kerberos
Prise en charge pour SASL et le mécanisme d'authentification SASL/GSSAPI dans un ou plusieurs serveurs d'annuaire.
Configuration de DNS utilisé par Kerberos avec des fichiers pour effectuer des recherches de nom d'hôte
Activation du démon nscd