Typy ověřování

None

None představuje jednoduché provázání se serverem pomocí pověření tvořeného neformátovaným textem. Jednoduchá vazba je jediným vázacím mechanismem definovaným v rámci samotných specifikací serveru LDAP. None nabízí vysokou kompatibilitu mezi dodavateli serverů LDAP.

VAROVÁNÍ: Používá se pověření tvořené běžným textem a toto ověřování proto NENÍ ZABEZPEČENÉ.

Možné využití: Všechny typy serverů, avšak použití tohoto typu ověřování není doporučeno.

NoneAndServerBind

Jedná se o typ ověřování None kombinovaný s optimalizací ServerBind.

VAROVÁNÍ: Používá se pověření tvořené běžným textem a toto ověřování proto NENÍ ZABEZPEČENÉ.

Možné využití: ActiveDirectory, avšak použití tohoto typu ověřování není doporučeno.

NoneAndFastServerBind

Jedná se o typ ověřování None kombinovaný s optimalizací ServerBind a FastBind.

VAROVÁNÍ: Používá se pověření tvořené běžným textem a toto ověřování proto NENÍ ZABEZPEČENÉ.

Možné využití: ActiveDirectory, avšak použití tohoto typu ověřování není doporučeno.

Anonymous

Anonymous znamená, že ověřování neproběhlo. Většina serverů LDAP podle výchozího nastavení neumožňuje anonymní přístup, případně poskytuje pouze velmi omezený přístup k serveru.

Možné využití: Všechny typy serverů, avšak použití tohoto typu ověřování není doporučeno.

AnonymousAndServerBind

Jedná se o typ ověřování Anonymous kombinovaný s optimalizací ServerBind.

Možné využití: ActiveDirectory, avšak použití tohoto typu ověřování není doporučeno.

AnonymousAndFastServerBind

Jedná se o typ ověřování Anonymous kombinovaný s optimalizací ServerBind a FastBind.

Možné využití: ActiveDirectory, avšak použití tohoto typu ověřování není doporučeno.

Secure

Secure představuje způsob ověřování ze systému Windows, který se spoléhá naWindows Security Support Provider Interface (SSPI). SSPI většinou využívá protokol Windows Negotiate s ověřováním Kerberos nebo NTLM. Secure podporuje explicitní pověření i Integrated Windows Authentication (IWA).

VAROVÁNÍ: ActiveDirectoryFastDelegationSecureBinding je z důvodu vyššího zabezpečení lepší, než Secure.

Možné využití: ActiveDirectory, NativeADS, NativeLDAP se serverem LDAP využívající systém Windows.

FastSecureBinding

Jedná se o typ ověřování Secure kombinovaný s optimalizací FastBind.

VAROVÁNÍ: ActiveDirectoryFastDelegationSecureBinding je z důvodu vyššího zabezpečení lepší, než FastSecureBinding.

Možné využití: ActiveDirectory, NativeADS.

SecureSocketLayer

SecureSocketLayer znamená, že komunikační kanály TLS/SSL slouží k šifrování veškerého provozu v síti. Součástí tohoto šifrování je provázání a výměna pověření. Jedná se o doporučené nastavení v případě většiny serverů LDAP, kde je vyžadována záruka zabezpečení bez využití ověřování a bezpečnostních postupů systému Windows. Nastavení je však komplikované, protože SecureSocketLayer vyžaduje, aby byl na serveru nainstalován platný certifikát. Klient musí zároveň důvěřovat Certifikačnímu úřadu (CA), který certifikát serveru vydal.

Analýza problémů SecureSocketLayer může být složitá:

• Konektory využívající rozhraní ADSI:

  Veškeré problémy související s SecureSocketLayer se zaznamenávají v protokolu událostí systému Windows. Pokud je certifikát serveru neplatný, připojení k SecureSocketLayer se nezdaří.

• Konektory nevyužívající rozhraní ADSI:

  Veškeré problémy související s SecureSocketLayer jsou hlášeny v dialogovém okně, které lze zobrazit klepnutím na tlačítko [Vyzkoušet připojení]. Pokud je certifikát serveru neplatný, zobrazí se varování, ale připojení k SecureSocketLayer bude úspěšné.

Možné využití: SunDirectoryServer, NativeLDAP, NativeADS.

Jedná se o doporučený typ ověřování.

FastSecureSocketLayer

Jedná se o typ ověřování SecureSocketLayer kombinovaný s optimalizací FastBind pro konektory využívající rozhraní ADSI nebo optimalizací FastConcurrentBinding pro konektory, které rozhraní ADSI nevyužívají.

Možné využití: SunDirectoryServer, NativeLDAP, NativeADS.

Jedná se o doporučený typ ověřování.

ActiveDirectoryFastSecureBinding

Jedná se o typ ověřování Secure kombinovaný s optimalizací Sealing, Signing a FastBind. Ověřování uživatelů probíhá vůči serverům ActiveDirectory.

Možné využití: ActiveDirectory, NativeADS.

ActiveDirectoryFastDelegationSecureBinding

Jedná se o typ ověřování Secure kombinovaný s optimalizací Sealing, Signing, Delegation a FastBind. Ověřování uživatelů probíhá vůči serverům ActiveDirectory.

Možné využití: ActiveDirectory, NativeADS.

Jedná se o doporučený typ ověřování pro ActiveDirectory.

Basic

Basic představuje jednoduché provázání se serverem pomocí pověření tvořeném běžným textem. Jedná se o typ ověřování velice podobný s None.

VAROVÁNÍ: Používá se pověření tvořené běžným textem a toto ověřování proto NENÍ ZABEZPEČENÉ.

Možné využití: Všechny typy serverů, avšak použití tohoto typu ověřování není doporučeno.

BasicWithFastConcurrentBinding

Jedná se o typ ověřování Basic kombinovaný s optimalizací FastConcurrentBinding.

VAROVÁNÍ: Používá se pověření tvořené běžným textem a toto ověřování proto NENÍ ZABEZPEČENÉ.

Možné využití: Všechny typy serverů, avšak použití tohoto typu ověřování není doporučeno.

BasicWithFastConcurrentBindingAndSSL

Jedná se o typ ověřování Basic kombinovaný s optimalizací FastConcurrentBinding a komunikačním kanálem SecureSocketLayer.

Možné využití: NativeLDAP.

Jedná se o doporučený typ ověřování.

Negotiate

Jedná se o ověřování Negotiate pro systém Windows a je tedy stejné jako ověřování Secure. Negotiate přechází do ověřování Kerberos nebo NTML.

Možné využití: Konektory ADAM a NativeLDAP pro server LDAP využívající systém Windows.

Kerberos

Ověřování Kerberos je téměř stejné jako ověřování Secure. Kerberos přechází do ověřování Kerberos.

VAROVÁNÍ: Negotiate je rozšířenější, než Kerberos.

Možné využití: Konektory ADAM a NativeLDAP pro server LDAP využívající systém Windows.

NTML

Ověřování NTML je téměř stejné jako ověřování Secure. NTML přechází do ověřování NTML.

VAROVÁNÍ: Negotiate je rozšířenější, než NTML.

Možné využití: Konektory ADAM a NativeLDAP pro server LDAP využívající systém Windows.

Digest

Jedná se o ověřování Windows Digest Access.

Možné využití: Konektory ADAM a NativeLDAP pro server LDAP využívající systém Windows.

ServerBind

Díky optimalizaci ServerBind je adresován pouze server uvedený v adrese URL připojení.

Používání optimalizace ServerBind je většinou bezpečné u většiny serverů LDAP a v případě ActiveDirectory, kdy je adresován konkrétní řadič domény. Servery pro případ selhání v rámci služby ActiveDirectory nejsou adresovány.

FastBind

Díky optimalizaci FastBind není využíván atribut objectClass na serveru. Dochází tak k nárůstu výkonu.

Optimalizaci FastBind lze využívat pouze v případě konektorů využívajících rozhraní ADSI, jako např. ActiveDirectory nebo NativeADS.

FastConcurrentBinding

Při optimalizaci FastConcurrentBinding nedochází k vytváření žádných bezpečnostních tokenů. Díky tomu dochází k nárůstu výkonu za situace, kde je zapotřebí pouze ověření uživatele.

Optimalizaci FastConcurrentBinding lze využívat pouze v případě konektorů nevyužívajících rozhraní ADSI, jako např. ADAM, NativeLDAP nebo SunDirectoryServer.

SecureSocketLayer

Při optimalizaci SecureSocketLayer je vytvořen komunikační kanál TLS/SSL sloužící k šifrování veškerého provozu v síti.

Sealing

Optimalizace Sealing poskytuje další možnosti šifrování v rámci rozhraní SSPI.

Signing

Optimalizace Signing poskytuje další možnosti kontroly integrity dat v rámci rozhraní SSPI.

Delegation

Optimalizace Delegation poskytuje možnost použití bezpečnostních údajů ze systému Windows v rámci domén.