ディレクトリ情報に対するリクエストを処理する LDAP 操作のセキュリティーを確保するために、次の点を考慮する必要があります。
情報にアクセスするためにクライアント自身を識別する方法。識別方法は、クライアントに指定された資格レベルによって決まります。資格レベルは credentialLevel 属性によって管理され、この属性には次のいずれかの値を割り当てることができます。
anonymous
proxy
proxy anonymous
self
それぞれの値の詳細は、クライアント資格レベルを参照してください。
クライアントを認証する方法。指定された方法は、authenticationMethod 属性で管理されます。認証方法は、次のオプションのいずれかを割り当てることで指定できます。
none
simple
sasl/digest-MD5
sasl/cram-MD5
sasl/GSSAPI
tls:simple
tls:sasl/cram-MD5
tls:sasl/digest-MD5
それぞれの値の詳細は、LDAP ネームサービスの認証方法を参照してください。
クライアントに割り当てる資格レベルおよび使用する認証方法に加えて、次の点も考慮してください。
Kerberos およびユーザー別の認証を使用するかどうか。
サーバーの passwordStorageScheme 属性に指定する値
アクセス制御情報を設定するかどうか
ACI の詳細は、使用しているバージョンの Oracle Directory Server Enterprise Edition に対応した『管理者ガイド』を参照してください。
LDAP アカウント管理の実行に pam_unix_* と pam_ldap モジュールのどちらを使用するのか
この考慮事項は、LDAP ネームサービスに NIS との互換性があるかどうかに関連しています。