Go to main content
Guide de sécurité des systèmes Oracle® ZFS Storage Appliance, version OS8.6.x

Quitter la vue de l'impression

Mis à jour : Septembre 2016
 
 

LDAP (Lightweight Directory Access Protocol)

Oracle ZFS Storage Appliance utilise le protocole LDAP (Lightweight Directory Access Protocol) pour authentifier les utilisateurs administratifs et certains utilisateurs de services de données (FTP, HTTP). La sécurité LDAP via SSL est prise en charge par l'appareil. Le LDAP est utilisé pour récupérer des informations concernant les utilisateurs et les groupes, des manières suivantes :

  • Fournit des interfaces utilisateur qui acceptent et affichent des noms pour les utilisateurs et les groupes.

  • Met les noms en correspondance vers et depuis les utilisateurs et les groupes, pour les protocoles de données tels que NFSv4 qui utilisent les noms.

  • Définit l'appartenance aux groupes à utiliser dans le contrôle d'accès.

  • De manière facultative, authentifie les données utilisées pour l'authentification d'accès administrative et aux données.

Les connexions LDAP peuvent être utilisées comme mécanisme d'authentification. Par exemple, lorsqu'un utilisateur tente de s'authentifier à Oracle ZFS Storage Appliance, l'appareil peut essayer de s'authentifier au serveur LDAP en tant qu'utilisateur, comme mécanisme de vérification de l'authentification.

Il existe un ensemble de contrôles pour la sécurité de connexion au LDAP :

  • Authentification appareil-serveur :

    • L'appareil est anonyme

    • L'appareil s'authentifie à l'aide d'informations d'identification d'un utilisateur Kerberos

    • L'appareil s'authentifie à l'aide d'un utilisateur et d'un mode de passe "proxy" spécifique

  • Authentification serveur-appareil (s'assurer que le bon serveur a été contacté) :

    • Non sécurisé

    • Le serveur est authentifié à l'aide de Kerberos

    • Le serveur est authentifié à l'aide d'un certificat TLS

Les données transmises sur une connexion LDAP sont chiffrées si Kerberos ou TLS sont utilisés mais pas chiffrés. Lorsque TLS est utilisé, la première connexion lors de la configuration n'est pas sécurisée. Le certificat du serveur collecté à ce moment-là est utilisé pour authentifier les connexions de production ultérieures.

Il n'est pas possible d'importer le certificat d'une autorité de certification afin d'authentifier plusieurs serveurs LDAP ; il n'est pas non plus possible d'importer manuellement un certificat de serveur LDAP spécifique.

Seul un TLS brut (LDAPS) est pris en charge. Les connexions STARTTLS, qui commencent sur une connexion LDAP non sécurisée puis passent sur une connexion sécurisée, ne sont pas prises en charge. Les serveurs LDAP qui nécessitent un certificat client ne sont pas pris en charge.

Copyright © 2014, 2016, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant