LDAP 服务器将根据客户机凭证级别验证 LDAP 客户机。可以为 LDAP 客户机指定以下凭证级别之一:
使用 anonymous 凭证级别,仅可以访问对所有人可用的数据。不会发生 LDAP BIND 操作。
anonymous 凭证级别的安全风险很高。任何客户机都可以更改 DIT 中的、客户机对其具有写入权限的信息,包括其他用户的口令或其自己的身份。另外,anonymous 级别会使所有客户机对所有 LDAP 命名服务和属性具有读取权限。
使用 proxy 凭证级别,客户机将绑定到一组共享的 LDAP 绑定凭证。共享的一组凭证也称为代理帐户。此代理帐户可以是任何允许绑定到目录的条目。此帐户需要有足够的访问权限以在 LDAP 服务器上执行命名服务功能。
此代理帐户是一个按系统共享的资源,这意味着使用代理访问权限登录到系统的用户(包括 root 用户)都将看到相同的信息。您必须在使用 proxy 凭证级别的每个客户机系统上配置 proxyDN 和 proxyPassword 属性。另外,proxyDN 必须在所有服务器上具有相同的 proxyPassword。
经过加密的 proxyPassword 存储在客户机本地。如果某个代理用户的口令发生了更改,您必须在使用该代理用户的每个客户机系统上更新该口令。此外,如果您对 LDAP 帐户使用口令生命期功能,请确保为代理用户关闭此功能。
您可以为不同的客户机组设置不同的代理。例如,您可以配置一个代理,限制所有销售客户机只能访问公司范围内可访问的目录和销售目录。禁止访问包含工资信息的人力资源目录。或者,在最极端的情况中,您可以为每个客户机指定不同的代理,或者为所有客户机仅指定一个代理。
如果计划为不同的客户机设置多个代理,请仔细考虑各种选择。代理太少可能会限制您对用户的资源访问权限的控制能力。但是,代理太多,又会增大系统设置和维护的难度。您需要根据自己的环境向代理用户授予合适的权限。有关如何确定哪种验证方法最适合您的配置的信息,请参见LDAP 客户机的凭证存储。
proxy 凭证级别适用于任何特定系统上的所有用户和进程。需要使用不同命名策略的用户必须登录到不同的系统,或使用每用户验证模型。
proxy anonymous 凭证级别是一个多值条目,它定义了多个凭证级别。使用此级别时,指定的客户机将首先尝试使用其代理标识进行验证。如果验证失败,例如由于用户锁定或口令失效,则客户机将使用匿名访问方式。根据目录的配置情况,不同的凭证级别可能会与不同的服务级别相关联。
self 凭证级别也称为每用户模式。此模式使用 Kerberos 标识(称为主体)针对每个系统或用户执行查找,以进行验证。使用“每用户”验证,系统管理员可以使用访问控制指令 (access control instruction, ACI)、访问控制列表 (access control list, ACL)、角色、组或其他目录访问控制机制来向特定用户或系统授予或拒绝对特定命名服务数据的访问权限。
要使用每用户验证模式,必须具备以下条件:
部署 Kerberos 单点登录服务
支持在一个或多个目录服务器中使用 SASL 和 SASL/GSSAPI 验证机制
配置 DNS,Kerberos 将结合使用 DNS 和文件来执行主机名查找
启用 nscd 守护进程