test

通信アダプタ用 Java CAPS プロジェクトコンポーネントの構成

「セキュリティー/SSL」セクションのプロパティー

LDAP アダプタの「セキュリティー/SSL」セクションのプロパティーは、SSL の基本的なセキュリティー機能を設定するために使用されます。

表 1–54 LDAP アダプタ — 「セキュリティー/SSL」設定

名前 

説明 

必要な値 

JSSE プロバイダクラス 

JSSE プロバイダクラスの完全修飾名を指定します。詳細については、Sun Microsystems の次の Java サイトを参照してください。 

http://java.sun.com

有効な JSSE プロバイダクラスの名前。デフォルトは次のとおりです。 

com.sun.net.ssl.internal.ssl.Provider 

AIX 上でインテグレーションサーバーを実行している場合は、次の名前を指定します。 

com.ibm.jsse.IBMJSSEProvider 

キーストア 

デフォルトのキーストアファイルを指定します。キーストアは、SSL 接続確立時の鍵/証明書管理に使用されます。 

有効なパッケージの場所。デフォルト値はありません。次のファイルを使用することをお勧めします。 


c:\JavaCAPS\appserver\is\domainsMyDomain
\config\keystore.jks

項目の意味を次に示します。 


c:\JavaCAPS
 is the directory where the Sun Java Composite 
Application Platform Suite is installed and 
MyDomain
 is the name of your domain.

キーストアパスワード 

デフォルトのキーストアパスワードを指定します。このパスワードは、SSL 接続確立時の鍵/証明書管理に使用されるキーストアにアクセスする際に使用されます。デフォルトはありません。 

有効なキーストアパスワード。デフォルト値はありません。

キーストアタイプ 

デフォルトのキーストアタイプを指定できるようにします。キーストアタイプは、SSL 接続確立時の鍵/証明書管理に使用されます。キーストアタイプが指定されなかった場合、デフォルトのキーストアタイプである JKS が使用されます。 

有効なキーストアタイプ。

キーストアユーザー名 

SSL 接続確立時の鍵/証明書管理に使用されるキーストアにアクセスするためのユーザー名。 

注 –

キーストアタイプが PKCS12 または JKS の場合、キーストアユーザー名のプロパティーは使用されません。PKCS12 および JKS のキーストアタイプでは、アクセス時にパスワードが必要になりますが、ユーザー名は必要ありません。このプロパティーに値を入力しても、PKCS12 および JKS ではその値は無視されます。

有効なキーストアユーザー名。 

SSL 接続タイプ 

使用される SSL 接続のタイプを指定できるようにします。 

「なし」、「SSL を有効化」、または「TLS オンデマンド」を選択します。次のように目的の値を入力します。 

なし: SSL を使用しない、単純なプレーン接続。

SSL を有効化: SSL が有効化されます。LDAP サーバーへのすべての通信で、セキュリティー保護された通信チャネルが使用されます。

注 –

「SSL の有効化」オプションを使用する場合、「プロバイダ URL」プロパティーが、セキュリティー保護された LDAP ポート (デフォルトは 636) を指している必要があります。

このプロパティーの必要な値に関する追加情報については、「SSL 接続タイプ」を参照してください。

SSL プロトコル 

LDAP サーバーとの SSL 接続を確立する際に使用する SSL プロトコル。アプリケーションサーバーのプラットフォームについては、JSSE のマニュアルを参照してください。 

TLS」、「TLSv1」、「SSLv3」、「SSLv2」、または「SSL」を選択します。

トラストストア 

デフォルトのトラストストアを指定します。トラストストアは、SSL 接続確立時の CA 証明書管理に使用されます。 

有効なトラストストアファイル。デフォルトはありません。 

トラストストアパスワード 

デフォルトのトラストストアパスワードを指定できるようにします。このパスワードは、SSL 接続確立時の CA 証明書管理に使用されるトラストストアにアクセスするためのものです。 

有効なトラストストアパスワード。デフォルトはありません。 

トラストストアタイプ 

SSL 接続確立時の CA 証明書管理に使用されるトラストストアのトラストストアタイプを指定できるようにします。トラストストアタイプが指定されなかった場合、デフォルトのトラストストアタイプである JKS が使用されます。 

有効なトラストストアタイプ。 

ホスト名の検証 

SSL ハンドシェーク中にサーバー証明書に対してホスト名検証を行うかどうかを判定します。 

このプロパティーを使えば、要求 URL 内のサーバーホスト名と受信されたサーバー証明書内のホスト名について、厳格なチェックを行えます。 

true または false。デフォルトは false です。

このプロパティーの必要な値に関する追加情報については、「ホスト名の検証」を参照してください。

X509 アルゴリズム名 

信頼マネージャーファクトリと鍵マネージャーファクトリで使用する X509 アルゴリズムの名前を指定します。 

有効な X509 アルゴリズム名前。デフォルトは「SunX509」です。AIX 上でインテグレーションサーバーを実行している場合は、「IbmX509」を指定します。

「セキュリティー/SSL」プロパティーに関する追加の注意事項

次に示すのは、「セキュリティー/SSL」セクションの次のプロパティーに関する追加の注意事項です。

SSL 接続タイプ

現在の LDAP サーバーで、セキュリティー証明書のインストールやポート番号などの SSL プロパティーが正しく設定されていることを確認してください。

Transport Layer Security (TLS) は、インターネット経由で通信するクライアント/サーバーアプリケーション間で機密性とデータの完全性を保証するプロトコルです。 このアダプタの TLS 動作では、セキュリティー保護された通信とされていない通信の両方が同じ接続上でサポートされます。

ただし、LDAP サーバーの中には、セキュリティー保護されていない設定済みのポート上で起動しなければならず、セキュリティー保護されたポート上では起動できないものもあります。詳細については、LDAP サーバーの関連するマニュアルを参照してください。

次の例では、performAddEntry 呼び出しはセキュリティー保護された通信チャネルを経由しますが、performRename 呼び出しはセキュリティー保護されていないプレーン通信チャネルを経由します。


   startTLS();
   performAddEntry();
   stopTLS();
   
   performRename();

現在の LDAP サーバーで (SSL 設定に加えて) TLS 設定が正しく設定されていることを確認してください。

注 –

stopTLS メソッドを使用すると、一部の LDAP サーバーで予期しない動作が発生する可能性があります。コラボレーション定義からこのメソッドを削除しなければいけない可能性があります。たとえば、Sun ONE Directory Server への接続時には stopTLS メソッドを使用できません。詳細については、LDAP サーバーの関連するマニュアルを参照してください。

ユーザーが複数の値を持つ単一の属性を TLS 接続経由で繰り返し追加すると、Active Directory はコンテキストを解放しません。ただし、TLS を開始し、属性処理を追加してから TLS を停止する、という回避方法をとれば、コンテキストが解放されます。

LDAP OTD でこの機能を使用する方法については、「TLS 拡張ノード」を参照してください。

ホスト名の検証

いくつかの環境下で、このプロパティーを truefalse のどちらに設定するかによって、さまざまな Java 例外が発生する可能性があります。ここでは、それらの例外の原因について説明します。

たとえば、URL に含まれるホスト名が localhost、サーバー証明書に含まれるホスト名が localhost.stc.com であるととします。このとき、次の条件が適用されます。