Mira que si trabajamos para el mismo banco ¡¡¡¡¡ jajajaja. Además es que yo soy Lead Auditor y CISA. Que casualidad.

El planteamiento que tu haces lo pense cuando puse mi respuesta, pero no lo consideré vulnerabilidad. Todo lo mas, en el informe de auditoría, yo destacaría el hecho de que se aseguren que efectivmente la formación del personal es la adecuada.

Planteate que desde otro punto de vista, esa debiliad se convierte en fortaleza. El hecho de tener muchos entronos hace que un equipo de atacantes tenga que tener mayor formación.

Un LDAP sobre solaris es dificil de atacar, si además valida la pasword contra host, lo es más aún.

En fin, todo es relativo y seguro que lo que indiques en tu informe será lo más adecuado.

Saludos
Hooker