Типы проверки подлинности

None

None означает простое подключение к серверу с использованием незашифрованных учетных данных. Простое подключение — это единственный механизм подключения, определенный в самой спецификации LDAP. None обладает высоким уровнем совместимости для всех поставщиков серверов LDAP.

ПРЕДУПРЕЖДЕНИЕ Данный тип проверки подлинности НЕБЕЗОПАСЕН, так как используются незашифрованные учетные данные.

Возможное использование. Все типы серверов, но использование данного типа проверки подлинности не рекомендуется.

NoneAndServerBind

Тип проверки подлинности None, объединенной с оптимизацией ServerBind.

ПРЕДУПРЕЖДЕНИЕ Данный тип проверки подлинности НЕБЕЗОПАСЕН, так как используются незашифрованные учетные данные.

Возможное использование. ActiveDirectory, но этот тип проверки подлинности не рекомендуется.

NoneAndFastServerBind

Тип проверки подлинности None, объединенной с ServerBind и оптимизацией FastBind.

ПРЕДУПРЕЖДЕНИЕ Данный тип проверки подлинности НЕБЕЗОПАСЕН, так как используются незашифрованные учетные данные.

Возможное использование. ActiveDirectory, но этот тип проверки подлинности не рекомендуется.

Anonymous

Anonymous означает, что проверка подлинности не была выполнена. Большинство серверов LDAP не предоставляют анонимный доступ по умолчанию или предоставляют ограниченный доступ.

Возможное использование. Все типы серверов, но использование данного типа проверки подлинности не рекомендуется.

AnonymousAndServerBind

Тип проверки подлинности Anonymous, объединенной с оптимизацией ServerBind.

Возможное использование. ActiveDirectory, но этот тип проверки подлинности не рекомендуется.

AnonymousAndFastServerBind

Тип проверки подлинности Anonymous, объединенной с ServerBind и оптимизацией FastBind.

Возможное использование. ActiveDirectory, но этот тип проверки подлинности не рекомендуется.

Secure

Secure — метод проверки подлинности Windows, основанный на Windows Security Support Provider Interface (SSPI). SSPI обычно выбирает протокол Windows Negotiate с Kerberos или проверкой подлинности NTLM. Secure поддерживает и явные учетные данные, и Integrated Windows Authentication (IWA).

ПРЕДУПРЕЖДЕНИЕ ActiveDirectoryFastDelegationSecureBinding предпочтительнее для обеспечения безопасности, чем Secure.

Возможное использование. ActiveDirectory, NativeADS, NativeLDAP с сервером LDAP под управлением Windows.

FastSecureBinding

Тип проверки подлинности Secure, объединенной с оптимизацией FastBind.

ПРЕДУПРЕЖДЕНИЕ ActiveDirectoryFastDelegationSecureBinding предпочтительнее для обеспечения безопасности, чем FastSecureBinding.

Возможное использование. ActiveDirectory, NativeADS.

SecureSocketLayer

SecureSocketLayer означает, что канал связи TLS/SSL используется для шифрования всего сетевого трафика. Шифрование распространяется на подключение и обмен учетными данными. Этот параметр рекомендуется для большинства серверов LDAP, когда необходимо гарантировать безопасность без использования проверки подлинности Windows и средств обеспечения безопасности. Однако в этом случае установка усложняется, так как для SecureSocketLayer требуется наличие установленного действующего сертификата сервера. Кроме того, клиент должен доверять центру сертификации (ЦС), выдавшему сертификат сервера.

Анализ проблем SecureSocketLayer может быть достаточно сложным.

• Для разъемов ADSI:

  Все проблемы, связанные с SecureSocketLayer, регистрируются в журнале системных событий Windows. Если сертификат сервера недействителен, соединение с SecureSocketLayer не может быть установлено.

• Для разъемов, отличных от ADSI:

  Все проблемы, связанные с SecureSocketLayer, регистрируются в диалоговом окне, отображаемом после нажатия кнопки [Проверка подключения]. Если сертификат сервера недействителен, появляется предупреждение, но соединение с SecureSocketLayer успешно устанавливается.

Возможное использование. SunDirectoryServer, NativeLDAP, NativeADS.

Рекомендуется использовать этот тип проверки подлинности.

FastSecureSocketLayer

Это тип проверки подлинности SecureSocketLayer, объединенной с FastBind оптимизацией коннекторов на основе ADSI или FastConcurrentBinding оптимизацией коннекторов не на основе ADSI.

Возможное использование. SunDirectoryServer, NativeLDAP, NativeADS.

Рекомендуется использовать этот тип проверки подлинности.

ActiveDirectoryFastSecureBinding

Тип проверки подлинности Secure, объединенной с Sealing, Signing и оптимизацией FastBind. Пользователи проходят проверку подлинности на серверах ActiveDirectory.

Возможное использование. ActiveDirectory, NativeADS.

ActiveDirectoryFastDelegationSecureBinding

Тип проверки подлинности Secure, объединенной с Sealing, Signing, Delegation и оптимизацией FastBind. Пользователи проходят проверку подлинности на серверах ActiveDirectory.

Возможное использование. ActiveDirectory, NativeADS.

Этот тип проверки подлинности рекомендуется для ActiveDirectory.

Basic

Basic означает простое подключение к серверу с использованием незашифрованных учетных данных. Этот тип проверки подлинности почти идентичен None.

ПРЕДУПРЕЖДЕНИЕ Данный тип проверки подлинности НЕБЕЗОПАСЕН, так как используются незашифрованные учетные данные.

Возможное использование. Все типы серверов, но использование данного типа проверки подлинности не рекомендуется.

BasicWithFastConcurrentBinding

Тип проверки подлинности Basic, объединенной с оптимизацией FastConcurrentBinding.

ПРЕДУПРЕЖДЕНИЕ Данный тип проверки подлинности НЕБЕЗОПАСЕН, так как используются незашифрованные учетные данные.

Возможное использование. Все типы серверов, но использование данного типа проверки подлинности не рекомендуется.

BasicWithFastConcurrentBindingAndSSL

Тип проверки подлинности Basic, объединенной с оптимизацией FastConcurrentBinding и каналом связи SecureSocketLayer.

Возможное использование. NativeLDAP.

Рекомендуется использовать этот тип проверки подлинности.

Negotiate

Это проверка подлинности Negotiate Windows, что равнозначно проверке подлинности Secure. Negotiate приводит к Kerberos или проверке подлинности NTML.

Возможное использование. ADAM и NativeLDAP соединители к серверу LDAP, работающему под управлением Windows.

Kerberos

Проверка подлинности Kerberos почти идентична проверке подлинности Secure. Kerberos приводит к проверке подлинности Kerberos.

ПРЕДУПРЕЖДЕНИЕ Negotiate более предпочтителен, чем Kerberos.

Возможное использование. ADAM и NativeLDAP соединители к серверу LDAP, работающему под управлением Windows.

NTML

Проверка подлинности NTML почти идентична проверке подлинности Secure. NTML приводит к проверке подлинности NTML.

ПРЕДУПРЕЖДЕНИЕ Negotiate более предпочтителен, чем NTML.

Возможное использование. ADAM и NativeLDAP соединители к серверу LDAP, работающему под управлением Windows.

Digest

Это проверка подлинности Windows Digest Access.

Возможное использование. ADAM и NativeLDAP соединители к серверу LDAP, работающему под управлением Windows.

ServerBind

При оптимизации ServerBind адресуется только сервер, указанный в URL-адресе соединения.

Использование ServerBind обычно безопасно для всех серверов LDAP и для ActiveDirectory при адресации к конкретному контроллеру домена. Отказоустойчивые серверы для ActiveDirectory не адресуются.

FastBind

В процессе оптимизации FastBind атрибут objectClass не используется на сервере. Это увеличивает производительность.

Оптимизация FastBind действует только для коннекторов на основе ADSI, например ActiveDirectory или NativeADS.

FastConcurrentBinding

При оптимизации FastConcurrentBinding токен авторизации не создается. Это увеличивает производительность только в случае, если требуется проверка подлинности пользователей.

Оптимизация FastConcurrentBinding действует только для соединителей не на основе ADSI, например ADAM, NativeLDAP или SunDirectoryServer.

SecureSocketLayer

С параметром SecureSocketLayer создается канал связи TLS/SSL для шифрования всего сетевого трафика.

Sealing

Оптимизация Sealing активирует дополнительные возможности шифрования SSPI.

Signing

Оптимизация Signing активирует дополнительные возможности проверки целостности данных SSPI.

Delegation

Оптимизация Delegation активирует возможность использования контекста безопасности Windows во всех доменах.