您可定义应用程序用于连接到 LDAP 服务器的身份验证类型。您可以定义该应用程序在 LDAP 服务器上验证用户身份时使用的身份验证类型。可以将身份验证类型与优化结合使用,例如,NoneAndServerBind。可以将该身份验证类型与 ServerBind 优化结合使用。
“身份验证类型”表中介绍了这些身份验证类型。
“身份验证优化”表中介绍了这些身份验证类型的优化。
注释
在 LDAP 中,“身份验证”被称为“绑定”。
|
身份验证类型 |
说明 |
|---|---|
|
None |
None表示使用纯文本凭证简单绑定至服务器。简单绑定是 LDAP 规范本身定义的唯一绑定机制。None 在 LDAP 服务器供应商中具有较高的兼容性。 警告:由于使用了纯文本凭证,此身份验证并不安全。 可能的用途:所有服务器类型,但是不建议使用此身份验证类型。 |
|
NoneAndServerBind |
这是结合了ServerBind优化的None身份验证类型。 警告:由于使用了纯文本凭证,此身份验证并不安全。 可能的用途:ActiveDirectory,但是不建议使用此身份验证类型。 |
|
NoneAndFastServerBind |
这是结合了ServerBind和FastBind优化的None身份验证类型。 警告:由于使用了纯文本凭证,此身份验证并不安全。 可能的用途:ActiveDirectory,但是不建议使用此身份验证类型。 |
|
Anonymous |
Anonymous表示未执行身份验证。默认情况下,大多数 LDAP 服务器都不允许匿名访问,或严格限制对服务器的访问。 可能的用途:所有服务器类型,但是不建议使用此身份验证类型。 |
|
AnonymousAndServerBind |
这是结合了ServerBind优化的Anonymous身份验证类型。 可能的用途:ActiveDirectory,但是不建议使用此身份验证类型。 |
|
AnonymousAndFastServerBind |
这是结合了ServerBind和FastBind优化的Anonymous身份验证类型。 可能的用途:ActiveDirectory,但是不建议使用此身份验证类型。 |
|
Secure |
Secure是 Windows 身份验证方法,它依赖于Windows Security Support Provider Interface (SSPI)。SSPI 通常会选择带有 Kerberos 或 NTLM 身份验证的 Windows Negotiate 协议。Secure 支持显式凭据和 Integrated Windows Authentication (IWA)。 警告:ActiveDirectoryFastDelegationSecureBinding为首选,可较Secure实现更好的安全性。 可能的用途:带基于 Windows 的 LDAP 服务器的ActiveDirectory、NativeADS、NativeLDAP。 |
|
FastSecureBinding |
这是结合了FastBind优化的Secure身份验证类型。 警告:ActiveDirectoryFastDelegationSecureBinding为首选,可较FastSecureBinding实现更好的安全性。 可能的用途:ActiveDirectory, NativeADS. |
|
SecureSocketLayer |
SecureSocketLayer表示使用 TLS/SSL 通信通道加密所有的网络流量。加密包含凭证的绑定和交换。对于大多数 LDAP 服务器,在不使用 Windows 身份验证和安全机制的情况下,若必须要保证安全,则建议使用此设置。但是,该设置很复杂,因为SecureSocketLayer要求服务器安装有效的服务器证书。并且客户端必须信任颁发服务器证书的证书颁发机构 (CA)。 SecureSocketLayer问题分析可能比较复杂:
可能的用途:SunDirectoryServer, NativeLDAP, NativeADS. 建议使用此身份验证类型。 |
|
FastSecureSocketLayer |
这是结合了基于 ADSI 的连接器FastBind优化或非 ADSI 连接器FastConcurrentBinding优化的SecureSocketLayer身份验证类型。 可能的用途:SunDirectoryServer, NativeLDAP, NativeADS. 建议使用此身份验证类型。 |
|
ActiveDirectoryFastSecureBinding |
这是结合了Sealing、Signing和FastBind优化的Secure身份验证类型。用户将通过ActiveDirectory服务器进行身份验证。 可能的用途:ActiveDirectory, NativeADS. |
|
ActiveDirectoryFastDelegationSecureBinding |
这是结合了Sealing、Signing、Delegation和FastBind优化的Secure身份验证类型。用户将通过ActiveDirectory服务器进行身份验证。 可能的用途:ActiveDirectory, NativeADS. 建议将此身份验证类型用于ActiveDirectory。 |
|
Basic |
Basic表示使用纯文本凭证简单绑定至服务器。此身份验证类型与None非常类似。 警告:由于使用了纯文本凭证,此身份验证并不安全。 可能的用途:所有服务器类型,但是不建议使用此身份验证类型。 |
|
BasicWithFastConcurrentBinding |
这是结合了FastConcurrentBinding优化的Basic身份验证类型。 警告:由于使用了纯文本凭证,此身份验证并不安全。 可能的用途:所有服务器类型,但是不建议使用此身份验证类型。 |
|
BasicWithFastConcurrentBindingAndSSL |
这是结合了FastConcurrentBinding优化和SecureSocketLayer通信通道的Basic身份验证类型。 可能的用途:NativeLDAP. 建议使用此身份验证类型。 |
|
Negotiate |
这是 Windows Negotiate 身份验证,这意味着它与 Secure 身份验证相同。Negotiate 将导致 Kerberos 或 NTML 身份验证。 可能的用途:基于 Windows 的 LDAP 服务器的ADAM和NativeLDAP连接器。 |
|
Kerberos |
Kerberos 身份验证几乎与 Secure 身份验证相同。Kerberos 将导致 Kerberos 身份验证。 警告:Negotiate优于Kerberos。 可能的用途:基于 Windows 的 LDAP 服务器的ADAM和NativeLDAP连接器。 |
|
NTML |
NTML 身份验证几乎与 Secure 身份验证相同。NTML 将导致 NTML 身份验证。 警告:Negotiate优于NTML。 可能的用途:基于 Windows 的 LDAP 服务器的ADAM和NativeLDAP连接器。 |
|
Digest |
这是Windows Digest Access身份验证。 可能的用途:基于 Windows 的 LDAP 服务器的ADAM和NativeLDAP连接器。 |
“身份验证类型”表中介绍了这些身份验证类型。
“身份验证优化”表中介绍了这些身份验证类型的优化。
|
身份验证优化 |
说明 |
|---|---|
|
ServerBind |
凭借ServerBind优化,只能寻址到连接 URL 中指定的服务器。 当寻址到指定的域控制器时,对于大多数 LDAP 服务器和ActiveDirectory,使用ServerBind通常较为安全。 不会寻址到ActiveDirectory的故障转移服务器。 |
|
FastBind |
凭借FastBind优化,将不会使用服务器上的 objectClass 属性。 这样可提高性能。 FastBind优化仅对基于 ADSI 的连接器有效,如ActiveDirectory或NativeADS。 |
|
FastConcurrentBinding |
凭借FastConcurrentBinding优化,将不会创建安全令牌。 在仅需要用户身份验证时,这样可提高性能。 FastConcurrentBinding优化仅对基于非 ADSI 的连接器有效,如ADAM、NativeLDAP、SunDirectoryServer。 |
|
SecureSocketLayer |
凭借SecureSocketLayer选项,将创建 TLS/SSL 通信通道以加密所有网络流量。 |
|
Sealing |
Sealing优化将启用 SSPI 的其他加密功能。 |
|
Signing |
Signing优化将启用 SSPI 的其他数据完整性检查功能。 |
|
Delegation |
Delegation优化将启用在各个域使用 Windows 安全上下文功能。 |