公開キー、CA 証明書、および CRL にアクセスするための、資格情報を使用した LDAP へのアクセス (Sun Java System Messaging Server 6 2005Q4 管理ガイド)

Sun Java System Messaging Server 6 2005Q4 管理ガイド

公開キー、CA 証明書、および CRL にアクセスするための、資格情報を使用した LDAP へのアクセス

S/MIME に必要な公開キー、CA 証明書、および CRL は、LDAP ディレクトリに保存されます (前の節を参照)。キー、証明書、および CRL には、LDAP の 1 つの URL または複数の URL からアクセスできます。たとえば、CRL を 1 つのURL に、公開キーと証明書を別の URL に保存できます。Messaging Server では、必要な CRL または証明書情報をどの URL に含めるか、またそれらの URL へアクセスできるエントリの DN およびパスワードも指定できます。それらの DN/パスワードの資格情報はオプションです。いずれも指定しない場合、LDAP はまず HTTP サーバーの資格情報でアクセスを試み、それが失敗した場合は、anonymous でのアクセスを試みます。

次の smime.conf の資格情報パラメータの 2 つのペアを設定して、必要な URL にアクセスできます。logindn と loginpw、および crlurllogindn と crlurlloginpw。

logindn と loginpw は、smime.conf に含まれるすべての URL に使用される資格情報です。certurl および trustedurl パラメータによって指定された公開キー、公開キーの証明書、および CA 証明書の読み取り権限がある LDAP エントリの DN およびパスワードを指定します。

crlurllogindn および crlurlloginpw は、マッピングテーブルから得られる URL に対する読み取り権限がある LDAP エントリの DN およびパスワードを指定します (詳細は、「CRL へのアクセス」を参照)。それらの資格情報が受け入れられない場合、LDAP アクセスは拒否され、その他の資格情報での再試行は行われません。パラメータは両方とも指定するか、または両方とも空である必要があります。これらのパラメータは、証明書から直接得られる URL には適用されません。

特定の URL のパスワードの設定

Messaging Server では、次の smime.conf URL にアクセスするための DN とパスワードのペアを具体的に定義することができます。certUrl、trustedUrl、crlmappingUrl、sslrootcacertsUrl。

構文は次のとおりです。

url_type URL[ |URL_DN | URL_password]

次に例を示します。

trustedurl==ldap://mail.siroe.com:389/cn=Directory Manager, ou=people, 
o=siroe.com,o=ugroot?cacertificate?sub?(objectclass=certificationauthority) | 
cn=Directory manager | boomshakalaka

LDAP 資格情報の使用の要約

この節では、LDAP 資格情報の使用について簡単に説明します。

すべての LDAP 資格情報はオプションです。いずれも指定しない場合、LDAP はまず HTTP サーバーの資格情報でアクセスを試み、それが失敗した場合は、anonymous でのアクセスを試みます。

次のように、指定できる 2 組の URL に対する資格情報として smime.conf パラメータの 2 つのペアが使用されます。

logindn & loginpw - smime.conf 内のすべての URL

crlurllogindn & crlurlloginpw - マッピングテーブルからのすべての URL

これらは、デフォルトの LDAP 資格情報ペアと呼ばれます。
smime.conf に、または対応する CRL URL を介して指定された URL には、オプションのローカル LDAP 資格情報ペアが指定されます。
資格情報は、それぞれ次のように指定された順序でチェックされます。

1) ローカル LDAP 資格情報ペア - 指定された場合、1 つのみが試みられます

2) デフォルトの LDAP 資格情報ペア - 指定された際に、ローカル LDAP 資格情報ペアがない場合は、1 つのみが試みられます

3) サーバー - ローカル LDAP 資格情報ペアもデフォルトの LDAP 資格情報ペアも指定されない場合、最初に試みられます

4) anonymous - サーバーに障害が発生するか、またはいずれも指定されない場合にのみ、最後に試みられます
URL にローカル LDAP 資格情報のペアが指定された場合、それがまず使用され、アクセスが失敗した場合は、アクセスが拒否されます。
URL にローカル LDAP 資格情報ペアが指定されない場合、対応するデフォルトの LDAP 資格情報ペアが使用されます。アクセスが失敗した場合は、アクセスが拒否されます。