LDAP에서는 클라이언트가 가져오는 정보의 무결성 및 프라이버시가 유지되도록 보안 기능(예: 인증 및 액세스 제어)을 지원합니다.
LDAP 저장소의 정보에 액세스하려는 경우 클라이언트는 먼저 ID를 디렉토리 서버에 증명합니다. ID는 익명이거나 LDAP 서버에서 인식되는 호스트 또는 사용자일 수 있습니다. LDAP 서버는 클라이언트 ID와 서버의 ACI(액세스 제어 정보)를 기반으로 클라이언트가 디렉토리 정보를 읽을 수 있도록 합니다. ACI에 대한 자세한 내용은 사용 중인 Oracle Directory Server Enterprise Edition 버전의 관리 설명서를 참조하십시오.
인증은 다음 두 가지 유형 중 하나일 수 있습니다.
프록시 인증의 경우 ID는 요청이 발생한 호스트를 기반으로 합니다. 호스트가 인증되면 해당 호스트의 모든 사용자가 디렉토리 서버에 액세스할 수 있습니다.
사용자별 인증의 경우 ID는 각 사용자를 기반으로 합니다. 디렉토리 서버에 액세스하고 다양한 LDAP 요청을 실행하려는 모든 사용자가 인증되어야 합니다.
PAM(플러그인 가능한 인증 모듈) 서비스가 사용자 로그인 성공 여부를 결정합니다. 다음 목록과 같이 인증 기준은 사용되는 PAM 모듈에 따라 달라집니다.
pam_krb5 모듈 - Kerberos 서버가 인증 기준입니다. 이 모듈에 대한 자세한 내용은 pam_krb5(5) 매뉴얼 페이지를 참조하십시오. 본 설명서보다 Kerberos를 보다 광범위하게 다루는 Oracle Solaris 11.2의 Kerberos 및 기타 인증 서비스 관리 도 참조하십시오.
pam_ldap 모듈 - LDAP 서버와 로컬 호스트가 인증 기준으로 사용됩니다. 이 모듈에 대한 자세한 내용은 pam_ldap(5) 매뉴얼 페이지를 참조하십시오. pam_ldap 모듈을 사용하려면 LDAP 계정 관리를 참조하십시오.
동등한 pam_unix_* 모듈 - 정보가 호스트에서 제공되고 인증이 로컬에서 결정됩니다.
pam_ldap이 사용되는 경우 이름 지정 서비스와 인증 서비스가 디렉토리에 액세스하는 방법이 다릅니다.
이름 지정 서비스는 사전 정의된 ID를 기반으로 디렉토리에서 다양한 항목과 해당 속성을 읽습니다.
인증 서비스는 올바른 암호가 지정되었는지 여부를 확인하기 위해 LDAP 서버에 사용자 이름 및 암호를 인증합니다.
Kerberos와 LDAP을 동시에 사용하면 인증 서비스와 이름 지정 서비스를 함께 네트워크에 제공할 수 있습니다. Kerberos를 사용할 경우 엔터프라이즈에서 SSO(Single Sign-On) 환경을 지원할 수 있습니다. 동일한 Kerberos ID 시스템을 통해서도 사용자별 또는 호스트별로 LDAP 이름 지정 데이터를 질의할 수 있습니다.
Kerberos가 인증 수행에 사용되는 경우 사용자별 모드 요구 사항에 따라 LDAP 이름 지정 서비스도 사용으로 설정해야 합니다. 그러면 Kerberos가 두 가지 기능을 제공할 수 있습니다. Kerberos는 서버에 대해 인증을 수행하고, 주체(사용자 또는 호스트)의 Kerberos ID를 사용하여 디렉토리에 대해 인증을 수행합니다. 이렇게 하면 시스템에 대해 인증을 수행하는 데 사용되는 것과 동일한 사용자 ID가 조회 및 업데이트를 위해 디렉토리에 대해 인증을 수행하는 데에도 사용됩니다. 원하는 경우 관리자는 디렉토리의 ACI(액세스 제어 정보)를 사용하여 이름 지정 서비스에서 반환되는 결과를 제한할 수 있습니다.