LDAP では、クライアントが入手する情報の完全性および機密性を保証するために、認証や制御されたアクセスなどのセキュリティー機能がサポートされています。
LDAP リポジトリ内の情報にアクセスするには、クライアントはまず、ディレクトリサーバーとの識別情報を確立します。この識別情報は匿名にすることも、LDAP サーバーによって認識されたホストまたはユーザーとして指定することもできます。クライアントの識別情報とサーバーのアクセス制御情報 (ACI) に基づいて、LDAP サーバーは、クライアントによるディレクトリ情報の読み取りを許可します。ACI の詳細については、使用しているバージョンの Oracle Directory Server Enterprise Edition の管理者ガイドを参照してください。
認証には次の 2 種類があります。
プロキシ認証は、識別情報がリクエストの送信元ホストに基づいていることを意味します。ホストが認証されたあとに、そのホスト上のすべてのユーザーがディレクトリサーバーにアクセスできます。
ユーザー別の認証は、識別情報が各ユーザーに基づいていることを意味します。ディレクトリサーバーにアクセスして、さまざまな LDAP リクエストを発行するには、すべてのユーザーを認証する必要があります。
PAM (Pluggable Authentication Module) サービスは、ユーザーログインが成功したかどうかを判断します。次のリストで示すように、認証の基盤は使用される PAM モジュールによって異なります。
pam_krb5 モジュール - Kerberos サーバーが認証の基盤です。このモジュールの詳細は、pam_krb5(5) のマニュアルページを参照してください。このガイドよりも広範囲にわたって Kerberos について説明しているOracle Solaris 11.2 での Kerberos およびその他の認証サービスの管理 も参照してください。
pam_ldap モジュール - LDAP サーバーとローカルホストの両方が認証の基盤として機能します。このモジュールの詳細は、pam_ldap(5) のマニュアルページを参照してください。pam_ldap モジュールを使用する場合は、LDAP アカウント管理を参照してください。
同等の pam_unix_* モジュール - 情報はホストから提供され、認証はローカルで決定されます。
pam_ldap を使用する場合、ネームサービスおよび認証サービスは別の方法でディレクトリにアクセスします。
ネームサービスは、事前定義された識別情報に基づくディレクトリから、さまざまなエントリおよびその属性を読み取ります。
認証サービスは、正しいパスワードが指定されているかどうかを判断するために、LDAP サーバーに対してユーザー名とパスワードを認証します。
Kerberos と LDAP を同時に使用すると、認証サービスとネームサービスの両方をネットワークに提供できます。Kerberos を使用すると、企業でシングルサインオン (SSO) 環境をサポートできます。また、ユーザーまたはホストごとに LDAP ネームデータのクエリー検索を実行する際にも、同じ Kerberos 識別システムを使用できます。
Kerberos を認証の実行に使用する場合は、ユーザー別モードの要件として、LDAP ネームサービスも有効にする必要があります。これにより、Kerberos は二重の機能を提供できます。ディレクトリへの認証に、サーバーへの Kerberos 認証、および主体 (ユーザーまたはホスト) に対する Kerberos 識別情報が使用されます。これにより、システムの認証に使用されるのと同じユーザー識別情報がディレクトリの認証にも使用され、検索と更新が実行されます。管理者は、必要に応じ、アクセス制御情報 (ACI) をディレクトリ内で使用して、ネームサービスで得られる結果を制限できます。