Go to main content
Guía de seguridad de Oracle® ZFS Storage Appliance (versión OS8.7.0)

Salir de la Vista de impresión

Actualización: Marzo de 2017
 
 

Protocolo ligero de acceso a directorios

Oracle ZFS Storage Appliance usa el protocolo ligero de acceso a directorios (LDAP) para autenticar usuarios administrativos y algunos usuarios de servicios de datos (FTP, HTTP). El dispositivo admite seguridad LDAP sobre SSL. LDAP se usa para recuperar información acerca de usuarios y grupos, y se usa de las siguientes maneras:

  • Proporciona interfaces de usuario que aceptan y muestran nombres para usuarios y grupos.

  • Asigna nombres a usuarios y grupos, y desde ellos, para protocolos de datos, como NFSv4, que usan nombres.

  • Define la pertenencia al grupo para usarla en el control de acceso.

  • Opcionalmente, transporta datos de autenticación usados para la autenticación de acceso de datos y administrativa.

Las conexiones LDAP pueden usarse como mecanismo de autenticación. Por ejemplo, cuando un usuario intenta realizar la autenticación con Oracle ZFS Storage Appliance, el dispositivo puede intentar realizar la autenticación con el servidor LDAP como ese usuario como un mecanismo para verificar la autenticación.

Existen una variedad de controles para la seguridad de la conexión de LDAP:

  • Autenticación de dispositivo a servidor:

    • El dispositivo es anónimo.

    • El dispositivo realiza la autenticación usando las credenciales de Kerberos del usuario.

    • El dispositivo realiza la autenticación usando el usuario y la contraseña "proxy" especificados.

  • Autenticación de servidor a dispositivo (garantiza que se haya contactado el servidor correcto):

    • No es segura.

    • El servidor se autentica usando Kerberos.

    • El servidor se autentica usando un certificado TLS.

Los datos transportados mediante una conexión LDAP se cifran si se usa Kerberos o TLS; de lo contrario, no se cifran. Cuando se usa TLS, la primera conexión en el tiempo de configuración no es segura. El certificado del servidor se recopila en ese momento y se usa para realizar la autenticación de conexiones de producción posteriores.

No es posible importar un certificado de autoridad de certificación para que se use a fin de realizar la autenticación de varios servidores LDAP ni importar un certificado de servidor LDAP particular manualmente.

Solo se admite TLS (LDAPS) sin procesar. Las conexiones STARTTLS, que comienzan con una conexión LDAP no segura y luego pasan a una conexión segura, no se admiten. Los servidores LDAP que requieren un certificado de cliente no se admiten.

Copyright © 2014, 2017, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior
Siguiente