LDAP 支持验证和受控制访问等安全功能,以确保客户机所获取的信息的完整性和保密性。
要访问 LDAP 系统信息库中的信息,客户机首先要向目录服务器表明其身份。该身份可以是匿名的,或者是 LDAP 服务器可以识别的主机或用户。LDAP 服务器将根据客户机的身份和服务器的访问控制信息 (access control information, ACI) 允许客户机读取目录信息。有关 ACI 的更多信息,请查阅所用的 Oracle Directory Server Enterprise Edition 版本的管理指南。
验证可以是以下两种类型之一:
代理验证,意味着身份基于生成请求的主机。在主机通过验证后,该主机上的所有用户都可以访问目录服务器。
每用户验证,意味着身份基于每个用户。每个用户都必须通过验证才能访问目录服务器并发出各种 LDAP 请求。
可插拔验证模块 (pluggable authentication module, PAM) 服务用于确定用户登录是否成功。验证的基础因所使用的 PAM 模块而异,如以下列表所示:
pam_krb5 模块-Kerberos 服务器是验证的基础。有关此模块的更多信息,请参见 pam_krb5(5) 手册页。另请参见在 Oracle Solaris 11.2 中管理 Kerberos 和其他验证服务 ,其中对 Kerberos 的讨论比本指南更为广泛。
pam_ldap 模块-LDAP 服务器和本地主机用作验证的基础。有关此模块的更多信息,请参见 pam_ldap(5) 手册页。要使用 pam_ldap 模块,请参见 LDAP 帐户管理。
pam_unix_* 等效模块-信息由主机提供,验证由本地确定。
如果使用的是 pam_ldap,命名服务和验证服务将以不同的方式访问目录。
命名服务基于预定义的标识从目录中读取各个条目及其属性。
验证服务将使用 LDAP 服务器验证用户名和口令,以确定是否已指定了正确的口令。
可以同时使用 Kerberos 和 LDAP 向网络提供验证服务和命名服务。通过 Kerberos,可以在您的企业中支持单点登录 (single sign on, SSO) 环境。同一个 Kerberos 标识系统也可用于基于每个用户或基于每个主机来查询 LDAP 命名数据。
如果使用 Kerberos 执行验证,则根据每用户模式的要求,也必须启用 LDAP 命名服务。然后 Kerberos 可以提供双重功能。Kerberos 向服务器验证身份,主体(用户或主机)的 Kerberos 标识用于向目录验证身份。这样,用于向系统验证身份的用户标识同样也将用于向目录验证身份,以执行查找或更新,如果需要,管理员可以在目录中使用访问控制信息 (Access Control Information, ACI) 来限制命名服务返回的结果。