为客户机指定 proxy 或 proxy-anonymous 凭证级别时,还必须选择对代理进行验证的方法。缺省情况下,验证方法是 none,它表示匿名访问。验证方法可能还有关联的传输安全选项。
验证方法(例如凭证级别)可以是多值的。例如,在客户机配置文件中,您可以指定客户机首先尝试使用由 TLS 保护的 simple 方法进行绑定。如果失败,客户机将尝试使用 sasl/digest-MD5 方法进行绑定。在这种情况下,可以按如下方式配置 authenticationMethod 属性:tls:simple;sasl/digest-MD5。
LDAP 命名服务支持某些简单验证和安全层 (Simple Authentication and Security Layer, SASL) 机制。这些机制无需 TLS 便可安全地交换口令。但是,这些机制不提供数据完整性和保密性。有关 SASL 的信息,请在 IETF Web 站点中搜索 RFC 4422。
支持的验证机制如下所示:
客户机系统通过以明文形式发送用户口令,绑定到服务器。因此,除非会话受 IPsec 保护,否则口令很容易被窥探。使用 simple 验证方法的主要优点在于所有目录服务器都支持该验证方法且该方法容易设置。
客户机的口令在验证期间会得到保护,但会话不会被加密。digest-MD5 的主要优点在于,在验证期间,口令不会以明文形式发送,比 simple 验证方法更安全。有关 digest-MD5 的信息,请在 IETF Web 站点中搜索 RFC 2831。digest-MD5 是 cram-MD5 的改进。
使用 sasl/digest-MD5 时,验证过程是安全的,但会话不受保护。
LDAP 会话不会加密,但是客户机的口令在验证期间会受到保护。不要使用这种过时的验证方法。
此验证方法与“每用户”模式一起使用可启用“每用户”查找。使用客户机凭证的每用户模式的 nscd 会话将通过使用 sasl/GSSAPI 方法和客户机的 Kerberos 凭证,绑定到目录服务器。在目录服务器中,可以对每位用户的访问进行控制。
对 LDAP 会话进行加密,客户机使用 sasl/cram-MD5 向目录服务器验证身份。
对 LDAP 会话进行加密,客户机使用 sasl/digest-MD5 向目录服务器验证身份。
注意 - 要使用 digest-MD5,Oracle Directory Server Enterprise Edition 要求口令以未加密的形式存储。使用 sasl/digest-MD5 或 tls:sasl/digest-MD5 验证方法的代理用户的口令必须以未加密的形式存储。在这种情况下,请为 userPassword 属性配置正确的 ACI 以防止其可读。 |
下表概述了各种验证方法及其各自的特征。
|