在当前 LDAP 实现中,初始化期间设置的代理凭证存储在 SMF 系统信息库中,而非客户机配置文件中。这种实现方式提高了针对代理的标识名 (distinguished name, DN) 和口令信息的安全性。
SMF 系统信息库为 svc:/network/ldap/client。它存储着使用代理标识的客户机的代理信息。同样,凭证级别不是 self 的客户机的影子数据更新也将保存在此系统信息库中。
对于使用每用户验证模式的客户机,在验证期间将使用每个主体(每个用户或主机)的 Kerberos 标识和 Kerberos 票证信息。目录服务器将 Kerberos 主体映射到一个 DN,并使用 Kerberos 凭证向该 DN 证明身份。然后,目录服务器根据需要使用其访问控制指令 (access control instruction, ACI) 机制来允许或拒绝对命名服务数据的访问。
在此环境中,Kerberos 票证信息用于向目录服务器证明身份。系统不存储验证 DN 或口令。因此,当使用 ldapclient 命令初始化客户机时,无需设置 adminDN 和 adminPassword 属性。