Para mantener la seguridad de las operaciones LDAP que procesan solicitudes de información de directorios, debe tener en cuenta lo siguiente:
La manera en que los clientes se identifican a sí mismos para obtener acceso a la información. La manera en que se realiza la identificación viene determinada por el nivel de credencial que se especifique para los clientes. El nivel de credencial es gestionado por el atributo credentialLevel, al que puede asignar uno de los siguientes valores:
anonymous
proxy
proxy anonymous
self
Para obtener descripciones detalladas de cada uno de estos valores, consulte Niveles de credencial de cliente.
El método de la autenticación del cliente. El método que se especifica se gestiona mediante el atributo authenticationMethod. Puede especificar el método de autenticación mediante la asignación de una de las siguientes opciones:
none
simple
sasl/digest-MD5
sasl/cram-MD5
sasl/GSSAPI
tls:simple
tls:sasl/cram-MD5
tls:sasl/digest-MD5
Para obtener descripciones detalladas de cada uno de estos valores, consulte Métodos de autenticación para el servicio de nombres LDAP.
Además del nivel de credencial que se asignará a los clientes y el método de autenticación que desea usar, también debe tener en cuenta lo siguiente:
Si se va a utilizar Kerberos y la autenticación por usuario
El valor que se debe especificar para el atributo passwordStorageScheme de los servidores
La configuración de la información de control de acceso
Para obtener más información sobre ACI, consulte la Guía de administración para la versión de Oracle Directory Server Enterprise Edition que está utilizando.
Si los clientes utilizan el módulo pam_unix_* o pam_ldap para realizar la gestión de cuentas de LDAP
Esta consideración depende de que el servicio de nombres LDAP sea compatible con NIS.