Métodos de autenticación para el servicio de nombres LDAP
Al asignar los niveles de credencial proxy o proxy-anonymous a un cliente, también debe seleccionar un método mediante el cual se autentique el proxy. De manera predeterminada, el método de autenticación es none, que implica el acceso anónimo. El método de autenticación también podría tener una opción de seguridad de transporte asociada.
El método de autenticación, como el nivel de credencial, puede tener varios valores. Por ejemplo, en el perfil de cliente, puede especificar que el cliente primero intente establecer un enlace con el método simple protegido por TLS. Si no funciona, el cliente deberá intentar vincular con el método sasl/digest-MD5. En este caso, habría que configurar el atributo authenticationMethod de la siguiente manera: tls:simple;sasl/digest-MD5.
El servicio de nombres LDAP admite algunos mecanismos de Autenticación sencilla y capa de seguridad (SASL). Estos mecanismos permiten un intercambio de contraseña seguro sin necesidad de TLS. Sin embargo, estos mecanismos no proporcionan integridad de los datos o privacidad. Busque la RFC 4422 en el sitio web de IETF para obtener información sobre SASL.
Los siguientes mecanismos de autenticación son compatibles.
- none
-
El cliente no se autentica en el directorio. Este método es equivalente al nivel de credencial anonymous.
- simple
-
El sistema cliente se enlaza al servidor enviando la contraseña de usuario sin cifrar. La contraseña está, por lo tanto, sujeta a ser vista a menos que la sesión esté protegida por IPsec. Las ventajas principales de utilizar el método de autenticación simple son que todos los servidores de directorios lo admiten y que es fácil de configurar.
- sasl/digest-MD5
-
La contraseña del cliente está protegida durante la autenticación, pero la sesión no está cifrada. La principal ventaja de digest-MD5 es que la contraseña no se envía en texto no cifrado durante la autenticación y es más seguro que el método de autenticación simple. Busque la RFC 2831 en el sitio web de IETF para obtener información sobre digest-MD5. digest-MD5 es una versión mejorada de cram-MD5.
Con sasl/digest-MD5, la autenticación es segura, pero la sesión no está protegida.
Notas - Si está utilizando Oracle Directory Server Enterprise Edition, la contraseña se debe almacenar sin cifrar en el directorio. - sasl/cram-MD5
-
La sesión LDAP no está cifrada, pero la contraseña del cliente está protegida durante la autenticación. No utilice este método de autenticación, está obsoleto.
- sasl/GSSAPI
-
Este método de autenticación se utiliza junto con el modo por usuario para activar las consultas por usuario. Una sesión nscd por usuario con las credenciales del cliente se enlaza con el servidor de directorios usando el método sasl/GSSAPI y las credenciales de cliente de Kerberos. El acceso se puede controlar en el servidor de directorios por usuario.
- tls:simple
-
El cliente se enlaza usando el método simple, y la sesión está cifrada. La contraseña está protegida.
- tls:sasl/cram-MD5
-
La sesión LDAP está cifrada y el cliente se autentica con el servidor de directorios mediante sasl/cram-MD5.
- tls:sasl/digest-MD5
-
La sesión LDAP está cifrada y el cliente se autentica con el servidor de directorios mediante sasl/digest-MD5.
 | Precaución - Para utilizar digest-MD5, Oracle Directory Server Enterprise Edition requiere que se almacenen las contraseñas sin cifrar. Las contraseñas para el usuario de proxy que utiliza el método de autenticación sasl/digest-MD5 o tls:sasl/digest-MD5 deben almacenarse sin cifrar. En este caso, configure el atributo userPassword con la ACI adecuada a fin de evitar que se pueda leer. |
La siguiente tabla resume los diferentes métodos de autenticación y sus respectivas características.
|