Méthodes d'authentification pour le service de noms LDAP
Lorsque vous affectez le niveau d'identification proxy ou proxy-anonymous à un client, vous devez également sélectionner une méthode d'authentification auprès du serveur d'annuaire. Par défaut, la méthode d'authentification est none, ce qui implique un accès anonyme. La méthode d'authentification peut également avoir une option de sécurité de transport associée.
La méthode d'authentification, comme le niveau d'identification, peut être à valeurs multiples. Par exemple, dans le profil client, vous pouvez spécifier que le client tente d'abord d'établir la liaison à l'aide de la méthode simple sécurisée par TLS. Si la méthode n'aboutit pas, le client tente alors d'établir la liaison avec la méthode sasl/digest-MD5. Dans ce cas, vous configurez l'attribut authenticationMethod comme suit : tls:simple;sasl/digest-MD5.
Le service de noms LDAP prend en charge les mécanismes du protocole SASL (Simple Authentication and Security Layer). Ces mécanismes permettent l'échange d'un mot de passe sécurisé sans exiger le protocole TLS. Cependant, ces mécanismes ne fournissent pas l'intégrité ou la confidentialité des données. Recherchez RFC 4422 sur le site Web IETF pour plus d'informations sur SASL.
Les mécanismes d'authentification suivants sont pris en charge.
- none
-
Le client ne s'authentifie pas auprès de l'annuaire. Il s'agit de l'équivalent du niveau d'identification anonymous.
- simple
-
Le système client établit une liaison avec le serveur en envoyant le mot de passe de l'utilisateur en clair. Le mot de passe peut être volé sauf si la session est protégée par IPsec. Les principaux avantages de l'utilisation de la méthode d'authentification simple sont que tous les serveurs d'annuaire la prennent en charge et qu'elle est facile à configurer.
- sasl/digest-MD5
-
Le mot de passe client est protégé au cours de l'authentification mais la session n'est pas chiffrée. L'avantage principal de digest-MD5 est que le mot de passe n'est pas envoyé en texte clair au cours de l'authentification et est plus sécurisé que la méthode d'authentification simple. Recherchez RFC 2831 dans le site Web IETF pour plus d'informations sur digest-MD5. digest-MD5 est une amélioration de cram-MD5.
Avec sasl/digest-MD5, l'authentification est sécurisée mais la session n'est pas protégée.
Remarque - Si vous utilisez Oracle Directory Server Enterprise Edition, le mot de passe doit être stocké en clair dans l'annuaire. - sasl/cram-MD5
-
La session LDAP n'est pas chiffrée mais le mot de passe du client est protégé au cours de l'authentification. N'utilisez pas cette méthode d'authentification obsolète.
- sasl/GSSAPI
-
Cette méthode d'authentification est utilisée avec le mode d'identification par utilisateur pour activer les recherches par utilisateur. Une session nscd par utilisateur avec les informations d'identification établit la liaison avec le serveur d'annuaire en utilisant la méthode sasl/GSSAPI et les informations d'identification Kerberos du client. L'accès peut être contrôlé dans le serveur d'annuaire par utilisateur.
- tls:simple
-
Le client établit une liaison à l'aide de la méthode simple et la session est chiffrée. Le mot de passe est protégé.
- tls:sasl/cram-MD5
-
La session LDAP est chiffrée et le client s'authentifie auprès du serveur d'annuaire à l'aide de sasl/cram-MD5.
- tls:sasl/digest-MD5
-
La session LDAP est chiffrée et le client s'authentifie auprès du serveur d'annuaire à l'aide de sasl/digest-MD5.
 | Mise en garde - Oracle Directory Server Enterprise Edition nécessite que les mots de passe soient stockés en clair afin de pouvoir utiliser digest-MD5. Les mots de passe de l'utilisateur proxy qui utilise sasl/digest-MD5 ou la méthode d'authentification tls:sasl/digest-MD5 doivent être stockés en clair. Dans ce cas, configurez l'attribut userpassword avec les bonnes ACI pour éviter qu'il ne soit accessible en lecture. |
Le tableau ci-dessous résume les différentes méthodes d'authentification et leurs caractéristiques respectives.
|