Trabajo con servicios de nombres y de directorio en Oracle® Solaris 11.2: LDAP

Salir de la Vista de impresión

 
Actualización: Julio de 2014
 
 

Niveles de credencial de cliente

El servidor LDAP autentica los clientes LDAP según el nivel de credencial de cliente. Los clientes LDAP pueden estar asignados a uno de los siguientes niveles de credencial:

anonymous

Con un nivel de credencial anonymous, puede acceder únicamente a los datos que están disponibles para todos. No se produce ninguna operación de enlace de LDAP.

El nivel de credencial anonymous constituye un elevado riesgo de seguridad. Cualquier cliente puede cambiar la información en el DIT al que el cliente tiene acceso de escritura, incluso contraseñas de usuarios o su propia identidad. Además, el nivel anonymous permite que todos los clientes puedan tener acceso de lectura a todos los atributos y las entradas de nombres LDAP.

Notas -  Oracle Directory Server Enterprise Edition permite restringir el acceso en función de direcciones IP, un nombre DNS, un método de autenticación y la hora del día. Por lo tanto, puede implementar medidas de seguridad. Para obtener más información, consulte “Gestión de control de acceso” en la Guía de administración para la versión de Oracle Directory Server Enterprise Edition que está utilizando.
proxy

Con un nivel de credencial proxy, el cliente se enlaza a un único conjunto compartido de credenciales de enlace LDAP. Al conjunto compartido también se lo denomina cuenta proxy. Esta cuenta proxy puede ser cualquier entrada que pueda enlazarse al directorio. Esta cuenta proxy necesita acceso suficiente para realizar las funciones del servicio de nombres en el servidor LDAP.

La cuenta proxy es un recurso compartido por sistema. Esto significa que todos los usuarios (incluido el usuario root) que estén conectados a un sistema mediante acceso de proxy ven la misma información. Debe configurar los atributos proxyDN y proxyPassword en cada sistema cliente que utiliza el nivel de credencial proxy. Además, proxyDN debe tener igual proxyPassword en todos los servidores.

La contraseña cifrada proxyPassword se almacena localmente en el cliente. Si se cambia la contraseña para un usuario de proxy, debe actualizarla en cada sistema cliente que utilice ese usuario proxy. Además, si utiliza la función de fecha de la contraseña en cuentas LDAP, asegúrese de que los usuarios de proxy queden exentos.

Puede configurar distintos proxies para los diferentes grupos de clientes. Por ejemplo, puede configurar un proxy que limite todos los clientes de ventas para que sólo tengan acceso a los directorios a los que puede acceder toda la compañía y a los de ventas. Está prohibido el acceso a directorios de recursos humanos que contengan información de nómina. O, en los casos más extremos, puede asignar diferentes proxies a cada cliente o asignar un solo proxy para todos los clientes.

Si tiene previsto configurar varios proxies para distintos clientes, analice las opciones en detalle. Muy pocos agentes proxy pueden limitar la capacidad para controlar el acceso del usuario a los recursos. Sin embargo, tener demasiados proxies complica la configuración y el mantenimiento del sistema. Necesita otorgar los derechos apropiados para el usuario de proxy, según el entorno. Consulte Almacenamiento de credenciales de clientes LDAP para obtener información acerca de cómo determinar el método de autenticación más adecuado para su configuración.

El nivel de credencial de proxy se aplica a todos los usuarios y los procesos de cualquier sistema específico. Los usuarios que necesiten utilizar diferentes políticas de nombres deben iniciar sesión en sistemas distintos o usar el modelo de autenticación por usuario.

proxy anonymous

El proxy anonymous es un nivel de credencial de entrada de varios valores, donde hay más de un nivel de credenciales definido. Con este nivel, a un cliente se le asignan los primeros intentos de autenticación mediante su identidad proxy. Si la autenticación falla, por ejemplo, porque se bloquea el usuario o se vence la contraseña, el cliente utiliza el acceso anónimo. Según el modo en que está configurado el directorio, diferentes niveles de credenciales se pueden asociar a diferentes niveles de servicio.

self

El nivel de credencial self también se conoce como modo por usuario. Este modo usa la identidad de Kerberos, denominada "el principal", para realizar una consulta para cada sistema o usuario para la autenticación. Con autenticación por usuario, el administrador del sistema puede utilizar la instrucción de control de acceso (ACI), las listas de control de acceso (ACL), los roles, los grupos u otros mecanismos de control de acceso al directorio para otorgar o denegar el acceso a los datos del servicio de nombres de usuarios o sistemas específicos.

Para utilizar el modelo de autenticación por usuario, se requiere lo siguiente:

  • Implementación del servicio de inicio de sesión único de Kerberos

  • Admisión de los mecanismos de autenticación SASL y SASL/GSSAPI en uno o más servidores de directorio

  • Configuración de DNS, que Kerberos utiliza junto con archivos para realizar las consultas de nombre de host

  • Activación del daemon nscd

Copyright © 2002, 2014, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior
Siguiente