SASL 外部バインド用に Directory Proxy Server を設定する

SASL 外部バインドについては、『Sun Java System Directory Server Enterprise Edition 6.3 Reference』の「Using SASL External Bind」を参照してください。

このタスクは DSCC を使用して実行することができます。詳細については、「Directory Service Control Center のインタフェース」および DSCC オンラインヘルプを参照してください。

1. 非認証操作を禁止します。

   $ dpconf set-server-prop -h host -p port allow-unauthenticated-operations:false

2. 接続の確立時に証明書を提示するようクライアントに求めます。

   $ dpconf set-server-prop -h host -p port allow-cert-based-auth:require

   クライアントが DN が含まれた証明書を提供します。

3. SASL 外部バインドによってクライアントの認証を有効にします。

   $ dpconf set-server-prop -h host -p port allow-sasl-external-authentication:true

4. バックエンド LDAP サーバーでクライアント証明書をマップするために Directory Proxy Server に使用されアイデンティティーを設定します。

   $ dpconf set-server-prop -h host -p port cert-search-bind-dn:bind-DN \ cert-search-bind-pwd-file:filename

5. Directory Proxy Server が検索するサブツリーのベース DN を設定します。

   Directory Proxy Server がサブツリーを検索し、クライアント証明書にマップされたユーザーエントリを見つけます。

   $ dpconf set-server-prop -h host -p port cert-search-base-dn:base-DN

6. クライアント証明書の情報を LDAP サーバー上の証明書にマップします。

   1. 証明書を含む LDAP サーバー上の属性に名前を付けます。

      $ dpconf set-server-prop cert-search-user-attribute:attribute

   2. クライアント証明書上の属性を、証明書のある LDAP サーバー上のエントリの DN にマップします。

      $ dpconf set-server-prop -h host -p port \ cert-search-attr-mappings:client-side-attribute-name:server-side-attribute-name

      たとえば、DN が cn=user1,o=sun,c=us のクライアント証明書を DN が uid=user1,o=sun の LDAP エントリにマップするには、次のコマンドを実行します。

      $ dpconf set-server-prop -h host1 -p 1389 cert-search-attr-mappings:cn:uid \ cert-search-attr-mappings:o:o

7. (省略可能) SASL 外部バインド操作の要求をすべてのデータビューまたはデータビューのカスタムリストに経路指定します。

   • すべてのデータビューに要求を経路指定するには、次のコマンドを実行します。

     $ dpconf set-server-prop -h host -p port cert-data-view-routing-policy:all-routable

   • データビューのリストに要求を経路指定するには、次のコマンドを実行します。

   $ dpconf set-server-prop -h host -p port cert-data-view-routing-policy:custom \ cert-data-view-routing-custom-list:view-name [view-name...]