test

Sun Java System Directory Server Enterprise Edition 6.3 管理ガイド

第 27 章 Directory Proxy Server のクライアント認証

Directory Proxy Server のクライアント認証の概要については、『Sun Java System Directory Server Enterprise Edition 6.3 Reference』の第 21 章「Directory Proxy Server Client Authentication」を参照してください。

この章の内容は次のとおりです。

クライアントと Directory Proxy Server 間のリスナーの設定

Directory Proxy Server には、クライアントとの通信のために、セキュリティー保護されたリスナーとセキュリティー保護されていないリスナーがあります。Directory Proxy Server のリスナーについては、『Sun Java System Directory Server Enterprise Edition 6.3 Reference』「Directory Proxy Server Client Listeners」を参照してください。ここでは、リスナーの設定方法について説明します。

Procedureクライアントと Directory Proxy Server 間のリスナーを設定する

注 –

この手順では、クライアントと Directory Proxy Server 間のセキュリティー保護されていないリスナーを設定します。セキュリティーが確保されているリスナーを設定するには、手順は同じですが、ldapldaps に置き換えます。

このタスクは DSCC を使用して実行することができます。詳細については、「Directory Service Control Center のインタフェース」および DSCC オンラインヘルプを参照してください。 DSCC では、このプロパティーを「パフォーマンス」タブで設定できます。

  1. セキュリティー保護されていないリスナーのプロパティーを表示します。


    $ dpconf get-ldap-listener-prop -h host -p port

    セキュリティー保護されていないリスナーのデフォルトプロパティーは、次のとおりです。


    connection-idle-timeout          :  1h
connection-read-data-timeout     :  2s
connection-write-data-timeout    :  1h
is-enabled                       :  true
listen-address                   :  0.0.0.0
listen-port                      :  port-number
max-connection-queue-size        :  128
max-ldap-message-size            :  unlimited
number-of-threads                :  2
use-tcp-no-delay                 :  true

  2. 手順 1に一覧表示されているプロパティーの 1 つまたは複数を要件に応じて変更します。


    $ dpconf set-ldap-listener-prop -h host -p port property:new-value

    たとえば、host1 で実行されている Directory Proxy Server のインスタンスのセキュリティー保護されていないポートを無効にするには、次のコマンドを実行します。


    $ dpconf set-ldap-listener-prop -h host1 -p 1389 is-enabled:false
    注意 – 注意 –

    非特権ポート番号を使用する場合は、Directory Proxy Server を root として実行する必要があります。

    セキュリティー保護されていないポート番号を変更するには、次のコマンドを実行します。


    $ dpconf set-ldap-listener-prop -h host -p port listen-port:new-port-number

  3. 必要に応じて、変更を有効にするために Directory Proxy Server のインスタンスを再起動します。

    特定のリスナープロパティーの変更には、サーバーの再起動が必要です。サーバーの再起動が必要な場合は、dpconf アラートが表示されます。Directory Proxy Server の再起動については、「Directory Proxy Server を再起動する」を参照してください。

Directory Proxy Server に対するクライアントの認証

デフォルトでは、Directory Proxy Server は単純バインド認証用に設定されています。単純バインド認証では、追加の設定は必要ありません。

クライアントと Directory Proxy Server 間の認証については、『Sun Java System Directory Server Enterprise Edition 6.3 Reference』「Client Authentication Overview」を参照してください。認証の設定方法については、次の手順を参照してください。

Procedure証明書ベースの認証を設定する

クライアントの証明書ベースの認証については、『Sun Java System Directory Server Enterprise Edition 6.3 Reference』「Configuring Certificates in Directory Proxy Server」を参照してください。この節では、証明書ベースの認証の設定方法について説明します。

このタスクは DSCC を使用して実行することができます。詳細については、「Directory Service Control Center のインタフェース」および DSCC オンラインヘルプを参照してください。

注 –

証明書ベースの認証は、SSL 接続でのみ実行できます。

  1. クライアントが SSL 接続を確立する場合に証明書の提示を必要とするように Directory Proxy Server を設定します。


    $ dpconf set-server-prop -h host -p port allow-cert-based-auth:require

Procedure匿名アクセスを設定する

匿名アクセスについては、『Sun Java System Directory Server Enterprise Edition 6.3 Reference』「Anonymous Access」を参照してください。匿名クライアントのアイデンティティーを別のアイデンティティーにマップする方法については、「代替ユーザーとしての要求の転送」を参照してください。

このタスクは DSCC を使用して実行することができます。詳細については、「Directory Service Control Center のインタフェース」および DSCC オンラインヘルプを参照してください。

  1. 非認証ユーザーに操作の実行を許可します。


    $ dpconf set-server-prop -h host -p port allow-unauthenticated-operations:true

ProcedureSASL 外部バインド用に Directory Proxy Server を設定する

SASL 外部バインドについては、『Sun Java System Directory Server Enterprise Edition 6.3 Reference』「Using SASL External Bind」を参照してください。

このタスクは DSCC を使用して実行することができます。詳細については、「Directory Service Control Center のインタフェース」および DSCC オンラインヘルプを参照してください。

  1. 非認証操作を禁止します。


    $ dpconf set-server-prop -h host -p port allow-unauthenticated-operations:false

  2. 接続の確立時に証明書を提示するようクライアントに求めます。


    $ dpconf set-server-prop -h host -p port allow-cert-based-auth:require

    クライアントが DN が含まれた証明書を提供します。

  3. SASL 外部バインドによってクライアントの認証を有効にします。


    $ dpconf set-server-prop -h host -p port allow-sasl-external-authentication:true

  4. バックエンド LDAP サーバーでクライアント証明書をマップするために Directory Proxy Server に使用されアイデンティティーを設定します。


    $ dpconf set-server-prop -h host -p port cert-search-bind-dn:bind-DN \
 cert-search-bind-pwd-file:filename

  5. Directory Proxy Server が検索するサブツリーのベース DN を設定します。

    Directory Proxy Server がサブツリーを検索し、クライアント証明書にマップされたユーザーエントリを見つけます。


    $ dpconf set-server-prop -h host -p port cert-search-base-dn:base-DN

  6. クライアント証明書の情報を LDAP サーバー上の証明書にマップします。

    1. 証明書を含む LDAP サーバー上の属性に名前を付けます。


      $ dpconf set-server-prop cert-search-user-attribute:attribute

    2. クライアント証明書上の属性を、証明書のある LDAP サーバー上のエントリの DN にマップします。


      $ dpconf set-server-prop -h host -p port \
 cert-search-attr-mappings:client-side-attribute-name:server-side-attribute-name

      たとえば、DN が cn=user1,o=sun,c=us のクライアント証明書を DN が uid=user1,o=sun の LDAP エントリにマップするには、次のコマンドを実行します。


      $ dpconf set-server-prop -h host1 -p 1389 cert-search-attr-mappings:cn:uid \
 cert-search-attr-mappings:o:o

  7. (省略可能) SASL 外部バインド操作の要求をすべてのデータビューまたはデータビューのカスタムリストに経路指定します。

    • すべてのデータビューに要求を経路指定するには、次のコマンドを実行します。


      $ dpconf set-server-prop -h host -p port cert-data-view-routing-policy:all-routable

    • データビューのリストに要求を経路指定するには、次のコマンドを実行します。


    $ dpconf set-server-prop -h host -p port cert-data-view-routing-policy:custom \
 cert-data-view-routing-custom-list:view-name [view-name...]