Oracle ZFS Storage Appliance は、Lightweight Directory Access Protocol (LDAP) を使用して管理ユーザーと一部のデータサービスユーザー (FTP、HTTP) の両方を認証します。アプライアンスでは、LDAP over SSL セキュリティーがサポートされています。LDAP は、ユーザーやグループに関する情報の取得に使用されるほかに、次の方法で使用されます。
ユーザーやグループの名前の受け入れや表示用のユーザーインタフェースを提供する。
名前を使用する NFSv4 などのデータプロトコルのために、名前とユーザーおよびグループとのマッピングを行います。
アクセス制御で使用するグループメンバーシップを定義します。
オプションで、管理およびデータアクセス認証で使用される認証データを伝送します。
LDAP 接続は、認証メカニズムとして使用できます。たとえば、ユーザーが Oracle ZFS Storage Appliance に対して認証を試みる場合、アプライアンスは、認証を検証するためのメカニズムとして、そのユーザーとして LDAP サーバーに認証を試みることができます。
LDAP 接続のセキュリティーについては、さまざまな制御が存在します。
アプライアンスからサーバーへの認証:
アプライアンスは匿名である
アプライアンスは、認証にユーザーの Kerberos 資格を使用する
アプライアンスは、認証に指定された「プロキシ」ユーザーおよびパスワードを使用する
サーバーからアプライアンスへの認証 (適正なサーバーの接続が保証される):
セキュアでない
サーバーは Kerberos を使用して認証される
サーバーは TLS 証明書を使用して認証される
Kerberos または TLS を使用する場合、LDAP 接続経由で送信されるデータは暗号化されますが、それ以外の場合は暗号化されません。TLS を使用する場合、構成時の最初の接続はセキュアではありません。サーバーの証明書は、その時点で収集されて、あとで本番接続の認証に使用されます。
認証局証明書をインポートして、複数の LDAP サーバーの認証に使用することはできません。特定の LDAP サーバーの証明書を手動でインポートすることもできません。
raw TLS (LDAPS) だけがサポートされています。セキュアでない LDAP 接続上で開始され、その後セキュアな接続に切り替えられる STARTTLS 接続は、サポートされていません。クライアント証明書の必要な LDAP サーバーは、サポートされていません。