S/MIME に必要な公開キー、CA 証明書、および CRL は、LDAP ディレクトリに保存されます (前の節を参照)。キー、証明書、および CRL には、LDAP の 1 つの URL または複数の URL からアクセスできます。たとえば、CRL を 1 つのURL に、公開キーと証明書を別の URL に保存できます。Messaging Server では、必要な CRL または証明書情報をどの URL に含めるか、またそれらの URL へアクセスできるエントリの DN およびパスワードも指定できます。それらの DN/パスワードの資格情報はオプションです。いずれも指定しない場合、LDAP はまず HTTP サーバーの資格情報でアクセスを試み、それが失敗した場合は、anonymous でのアクセスを試みます。
次の smime.conf の資格情報パラメータの 2 つのペアを設定して、必要な URL にアクセスできます。logindn と loginpw、および crlurllogindn と crlurlloginpw。
logindn と loginpw は、smime.conf に含まれるすべての URL に使用される資格情報です。certurl および trustedurl パラメータによって指定された公開キー、公開キーの証明書、および CA 証明書の読み取り権限がある LDAP エントリの DN およびパスワードを指定します。
crlurllogindn および crlurlloginpw は、マッピングテーブルから得られる URL に対する読み取り権限がある LDAP エントリの DN およびパスワードを指定します (詳細は、「CRL へのアクセス」を参照)。それらの資格情報が受け入れられない場合、LDAP アクセスは拒否され、その他の資格情報での再試行は行われません。パラメータは両方とも指定するか、または両方とも空である必要があります。これらのパラメータは、証明書から直接得られる URL には適用されません。
Messaging Server では、次の smime.conf URL にアクセスするための DN とパスワードのペアを具体的に定義することができます。certUrl、trustedUrl、crlmappingUrl、sslrootcacertsUrl。
構文は次のとおりです。
url_type URL[ |URL_DN | URL_password]
次に例を示します。
trustedurl==ldap://mail.siroe.com:389/cn=Directory Manager, ou=people, o=siroe.com,o=ugroot?cacertificate?sub?(objectclass=certificationauthority) | cn=Directory manager | boomshakalaka |
この節では、LDAP 資格情報の使用について簡単に説明します。
すべての LDAP 資格情報はオプションです。いずれも指定しない場合、LDAP はまず HTTP サーバーの資格情報でアクセスを試み、それが失敗した場合は、anonymous でのアクセスを試みます。
次のように、指定できる 2 組の URL に対する資格情報として smime.conf パラメータの 2 つのペアが使用されます。
logindn & loginpw - smime.conf 内のすべての URL
crlurllogindn & crlurlloginpw - マッピングテーブルからのすべての URL
これらは、デフォルトの LDAP 資格情報ペアと呼ばれます。
smime.conf に、または対応する CRL URL を介して指定された URL には、オプションのローカル LDAP 資格情報ペアが指定されます。
資格情報は、それぞれ次のように指定された順序でチェックされます。
1) ローカル LDAP 資格情報ペア - 指定された場合、1 つのみが試みられます
2) デフォルトの LDAP 資格情報ペア - 指定された際に、ローカル LDAP 資格情報ペアがない場合は、1 つのみが試みられます
3) サーバー - ローカル LDAP 資格情報ペアもデフォルトの LDAP 資格情報ペアも指定されない場合、最初に試みられます
4) anonymous - サーバーに障害が発生するか、またはいずれも指定されない場合にのみ、最後に試みられます
URL にローカル LDAP 資格情報のペアが指定された場合、それがまず使用され、アクセスが失敗した場合は、アクセスが拒否されます。
URL にローカル LDAP 資格情報ペアが指定されない場合、対応するデフォルトの LDAP 資格情報ペアが使用されます。アクセスが失敗した場合は、アクセスが拒否されます。