LDAPについて
>>609
昔あったPAMスレに書いたけど、落ちているのでもう一回。
Solaris付属のpam-ldapは、userPassword属性を取得して、
Solaris側でdecryptすることによって認証する。よって、
1. Solarisの対応しているcrypting schemeに利用が限られる。
2. bindするDNでuserPassword属性が読めないと駄目。(security上大きな制約)
一方、PADLのpam-ldapは、simple bindを使って認証を行うので、
1. crypting schemeの問題はLDAPに閉じ込めることができる。
認証する側はbind op.に対して単にDNとsecretを提供すればいい。
ADT抽象度が高い。
2. userPasswordは外部に出さない事が可能。
(iPlanetではcn=Directory Managerで読めてしまいますが)
ただし、現時点でSolaris 10では未検証。
昔あったPAMスレに書いたけど、落ちているのでもう一回。
Solaris付属のpam-ldapは、userPassword属性を取得して、
Solaris側でdecryptすることによって認証する。よって、
1. Solarisの対応しているcrypting schemeに利用が限られる。
2. bindするDNでuserPassword属性が読めないと駄目。(security上大きな制約)
一方、PADLのpam-ldapは、simple bindを使って認証を行うので、
1. crypting schemeの問題はLDAPに閉じ込めることができる。
認証する側はbind op.に対して単にDNとsecretを提供すればいい。
ADT抽象度が高い。
2. userPasswordは外部に出さない事が可能。
(iPlanetではcn=Directory Managerで読めてしまいますが)
ただし、現時点でSolaris 10では未検証。
|
|
|