プラグインの署名の検証

Directory Server が提供するプラグインは、それぞれがデジタル署名を持ち、サーバーの起動時にこれが検証されます。デフォルトでは、サーバーはプラグイン署名を検証します。ただしそのあと、署名の存在や有効性に関係なく、すべてのプラグインがロードされます。

署名の検証には、次のような利点があります。

• Directory Server が提供するプラグインの署名は、それが厳密にテストされ、正式にサポートされていることを示します。

• プラグインバイナリ自体のチェックサムを利用することで、署名の検証によって署名が改変されているかどうかを検出できます。このため、サーバー自体で実行される機密コードも署名によって保護されます。

• 署名されたプラグインだけをロードするようにサーバーを設定できます。 これは、未署名のプラグインやサポートしていないプラグインによる問題の特定に役立ちます。

プラグインが署名されていることを Directory Server で強制的に確認する

1. cn=config の ds-verify-plugin-signature を on に設定します。

2. Directory Server を再起動します。

   プラグインに署名がない場合、サーバーはエラーメッセージをログに記録します。

Directory Server でプラグインの署名を強制的に検証する

1. cn=config の ds-verify-plugin-signature を on に設定します。

2. cn=config の ds-require-valid-plugin-signatures を on に設定します。

3. Directory Server を再起動します。

   プラグインが署名されていないか、署名が無効である場合、サーバーは起動しません。