Lightweight Directory Access Protocol

Oracle ZFS Storage Appliance は、Lightweight Directory Access Protocol (LDAP) を使用して管理ユーザーと一部のデータサービスユーザー (FTP、HTTP) の両方を認証します。アプライアンスでは、LDAP over SSL セキュリティーがサポートされています。LDAP は、ユーザーやグループに関する情報の取得に使用されるほかに、次の方法で使用されます。

• ユーザーやグループの名前の受け入れや表示用のユーザーインタフェースを提供する。

• 名前を使用する NFSv4 などのデータプロトコルのために、名前とユーザーおよびグループとのマッピングを行います。

• アクセス制御で使用するグループメンバーシップを定義します。

• オプションで、管理およびデータアクセス認証で使用される認証データを伝送します。

LDAP 接続は、認証メカニズムとして使用できます。たとえば、ユーザーが Oracle ZFS Storage Appliance に対して認証を試みる場合、アプライアンスは、認証を検証するためのメカニズムとして、そのユーザーとして LDAP サーバーに認証を試みることができます。

LDAP 接続のセキュリティーについては、さまざまな制御が存在します。

• アプライアンスからサーバーへの認証:

  • アプライアンスは匿名である

  • アプライアンスは、認証にユーザーの Kerberos 資格を使用する

  • アプライアンスは、認証に指定された「プロキシ」ユーザーおよびパスワードを使用する

• サーバーからアプライアンスへの認証 (適正なサーバーの接続が保証される):

  • セキュアでない

  • サーバーは Kerberos を使用して認証される

  • サーバーは TLS 証明書を使用して認証される

Kerberos または TLS を使用する場合、LDAP 接続経由で送信されるデータは暗号化されますが、それ以外の場合は暗号化されません。TLS を使用する場合、構成時の最初の接続はセキュアではありません。サーバーの証明書は、その時点で収集されて、あとで本番接続の認証に使用されます。

認証局証明書をインポートして、複数の LDAP サーバーの認証に使用することはできません。特定の LDAP サーバーの証明書を手動でインポートすることもできません。

raw TLS (LDAPS) だけがサポートされています。セキュアでない LDAP 接続上で開始され、その後セキュアな接続に切り替えられる STARTTLS 接続は、サポートされていません。クライアント証明書の必要な LDAP サーバーは、サポートされていません。