LDAP admite distintas funciones de seguridad, como la autenticación y acceso controlado, que permiten garantizar la integridad y la privacidad de la información que los clientes obtienen.
Para acceder a la información en el repositorio LDAP, un cliente primero debe establecer su identidad con el servidor de directorios. La identidad puede ser anónima o como un host o usuario que sea reconocido por el servidor LDAP. En función de la identidad del cliente y la información de control de acceso (ACI) del servidor, el servidor LDAP permite que el cliente lea información del directorio. Para obtener más información sobre ACI, consulte la Guía de administración para la versión de Oracle Directory Server Enterprise Edition que está utilizando.
Hay dos tipos de autenticación:
En la autenticación de proxy, la identidad se basa en el host en el que se origina la solicitud. Cuando el host se autentica, todos los usuarios de ese host pueden acceder al servidor de directorios.
En la autenticación por usuario, la identidad se basa en cada usuario. Cada usuario debe estar autenticado para tener acceso al servidor de directorios y emitir varias solicitudes de LDAP.
El servicio del módulo de autenticación conectable (PAM) determina si el inicio de sesión de un usuario se realizó correctamente o no. La base para la autenticación varía en función de qué módulo PAM se utiliza, como se muestra en la siguiente lista:
Módulo pam_krb5: el servidor Kerberos es la base para la autenticación. Para obtener más información sobre este módulo, consulte la página del comando man pam_krb5(5). Consulte también Gestión de Kerberos y otros servicios de autenticación en Oracle Solaris 11.2 , donde Kerberos se trata de manera más detallada que en esta guía.
Módulo pam_ldap: el servidor LDAP y el host local sirven como base para la autenticación. Para obtener más información sobre este módulo, consulte la página del comando man pam_ldap(5). Para saber cómo utilizar el módulo pam_ldap, consulte Gestión de cuentas de LDAP.
Módulos pam_unix_* equivalentes: el host proporciona la información y la autenticación se determina de manera local.
Si se usa pam_ldap, el servicio de nombres y el servicio de autenticación acceden al directorio de manera diferente.
El servicio de nombres lee las distintas entradas y sus atributos del directorio según una identidad predefinida.
El servicio de autenticación autentica el nombre y la contraseña del usuario con el servidor LDAP para determinar si se ha especificado la contraseña correcta.
Puede utilizar Kerberos y LDAP al mismo tiempo para proporcionar autenticación y servicios de nombres a la red. Con Kerberos, es posible acompañar un entorno de inicio de sesión único (SSO) en la empresa. El mismo sistema de identidad de Kerberos también se puede utilizar para consultar datos de nombres LDAP por usuario o por host.
Si se utiliza Kerberos para realizar la autenticación, los servicios de nombres LDAP también deben estar activados como requisito del modo por usuario. Kerberos puede proporcionar funciones duales. Kerberos se autentica en el servidor y la identidad Kerberos para el principal (usuario o un host) se utiliza para autenticarse en el directorio. En este modo, la misma identidad de usuario que se utiliza para autenticarse en el sistema, también se utiliza para autenticarse en el directorio para consultas y actualizaciones. Los administradores pueden utilizar información de control de acceso (ACI) en el directorio para limitar los resultados fuera del servicio de nombres, si lo desean.