轻量目录访问协议

Oracle ZFS Storage Appliance 使用轻量目录访问协议 (Lightweight Directory Access Protocol, LDAP) 来验证管理用户以及某些数据服务用户（FTP、HTTP）。设备支持 LDAP-over-SSL 安全性。LDAP 用来检索关于用户和组的信息并通过以下方式使用：

• 提供用于接受和显示用户和组的名称的用户界面。

• 对于使用名称的数据协议（如 NFSv4），将名称映射到用户和组以及从用户和组映射名称。

• 定义供在访问控制中使用的组成员资格。

• （可选）传输用于管理和数据访问验证的验证数据。

LDAP 连接可以用作验证机制。例如，当用户尝试向 Oracle ZFS Storage Appliance 验证身份时，该设备可以尝试作为该用户向 LDAP 服务器验证身份（用作确认验证的一种机制）。

对于 LDAP 连接安全性，存在各种各样的控制：

• 设备到服务器的验证：

  • 设备是匿名的

  • 设备使用用户的 Kerberos 凭证进行验证

  • 设备使用指定的“代理”用户和密码进行验证

• 服务器到设备的验证（确保已连接了正确的服务器）：

  • 不安全

  • 使用 Kerberos 对服务器进行验证

  • 使用 TLS 证书对服务器进行验证

如果使用了 Kerberos 或 TLS，则通过 LDAP 连接传输的数据是加密的，但其他情况下不是加密的。使用 TLS 时，配置时的第一个连接不是安全的。此时会收集服务器的证书并使用它来验证以后的生产连接。

无法导入要用来验证多个 LDAP 服务器的证书颁发机构证书，也不能手动导入特定 LDAP 服务器的证书。

只支持原始 TLS (LDAPS)。不支持 STARTTLS 连接，此类连接在不安全的 LDAP 连接上启动，然后转移到安全连接。不支持需要客户机证书的 LDAP 服务器。