对于处理目录信息请求的LDAP 操作的安全性,您需要考虑以下事项:
客户机标识自身以访问信息的方式。标识的方式由为客户机指定的凭证级别确定。凭证级别通过 credentialLevel 属性管理,可向其指定以下值之一:
anonymous
proxy
proxy anonymous
self
有关其中某个值的详细说明,请参见客户机凭证级别。
验证客户机的方法。您指定的方法由 authenticationMethod 属性进行管理。可通过指定以下任一选项来指定验证方法:
none
simple
sasl/digest-MD5
sasl/cram-MD5
sasl/GSSAPI
tls:simple
tls:sasl/cram-MD5
tls:sasl/digest-MD5
有关其中某个值的详细说明,请参见LDAP 命名服务的验证方法。
除了要分配给客户机的凭证级别以及要使用的验证方法,还应考虑以下事项:
是否要使用 Kerberos 和“每用户”验证
要为服务器的 passwordStorageScheme 属性指定的值
是否设置访问控制信息?
有关 ACI 的更多信息,请查阅所用 Oracle Directory Server Enterprise Edition 版本的管理指南。
将使用 pam_unix_* 还是 pam_ldap 模块来执行 LDAP 帐户管理
此注意事项与 LDAP 命名服务是否与 NIS 兼容有关。