Oracle ZFS Storage Appliance 使用轻量目录访问协议 (Lightweight Directory Access Protocol, LDAP) 来验证管理用户以及某些数据服务用户(FTP、HTTP)。设备支持 LDAP-over-SSL 安全性。LDAP 用来检索关于用户和组的信息并通过以下方式使用:
提供用于接受和显示用户和组的名称的用户界面。
对于使用名称的数据协议(如 NFSv4),将名称映射到用户和组以及从用户和组映射名称。
定义供在访问控制中使用的组成员资格。
(可选)传输用于管理和数据访问验证的验证数据。
LDAP 连接可以用作验证机制。例如,当用户尝试向 Oracle ZFS Storage Appliance 验证身份时,该设备可以尝试作为该用户向 LDAP 服务器验证身份(用作确认验证的一种机制)。
对于 LDAP 连接安全性,存在各种各样的控制:
设备到服务器的验证:
设备是匿名的
设备使用用户的 Kerberos 凭证进行验证
设备使用指定的“代理”用户和密码进行验证
服务器到设备的验证(确保已连接了正确的服务器):
不安全
使用 Kerberos 对服务器进行验证
使用 TLS 证书对服务器进行验证
如果使用了 Kerberos 或 TLS,则通过 LDAP 连接传输的数据是加密的,但其他情况下不是加密的。使用 TLS 时,配置时的第一个连接不是安全的。此时会收集服务器的证书并使用它来验证以后的生产连接。
无法导入要用来验证多个 LDAP 服务器的证书颁发机构证书,也不能手动导入特定 LDAP 服务器的证书。
只支持原始 TLS (LDAPS)。不支持 STARTTLS 连接,此类连接在不安全的 LDAP 连接上启动,然后转移到安全连接。不支持需要客户机证书的 LDAP 服务器。