Sun Directory Services のセキュリティ

Sun Directory Services では、LDAP サーバーによるセキュリティプロトコルと、パスワード暗号化機構が提供されます。しかし、管理コンソールをリモートから使う場合には、クライアントマシンとサーバーマシンの通信は暗号化されません。この場合、ログイン手順による認証だけが行われます。

LDAP サーバーのセキュリティプロトコル

LDAP サーバーでは、次のセキュリティプロトコルがサポートされます。

• Simple Authentication Security Layer (SASL)

• Secure Socket Layer (SSL)

これらのセキュリティ機能はオプションです。デフォルトでは、クライアントは、「セキュリティ保護なし」モードのシンプルバインドでディレクトリにバインドします。

SASL

SASL は、バインドプロセスにおいて、トークンの交換によって厳格な認証を行うときに使用します。Sun Directory Services は、CRAM MD5 認証機構をサポートします。さらに、Sun Directory Services は、SSL ライブラリがサーバーにインストールされ、サーバーが TLS セキュリティをサポートするように構成されていれば、EXTERNAL 機構をサポートします。

Secure Socket Layer (SSL)

SSL プロトコルは、ディレクトリサーバーとディレクトリクライアントの間でセキュリティ保護された接続を行うときに使用します。

Sun Directory Services では、SSL は次の 2 つのモードで動作します。

• Transport Layer Security (TLS)

• 特定ポートでの SSL

「特定ポートでの SSL」モードでは、専用のポート (デフォルトでは、ポート 636) が使われます。TLS セキュリティモードでは、LDAP セッションの間であればいつでも「Start TLS」拡張操作を使って、セキュリティ保護された接続を開くことができます「Start TLS」操作では、クライアントは次のバインドを行うことができます。

• シンプルバインド

• CRAM-MD5 による SASL で保護されたバインド

• 実際の SSL 接続の認証による SASL で保護されたバインド

TLS モードでも「特定ポートでの SSL」モードでも、サーバーを認証するために SSL キーが必要です。このキーは、ホストマシンの IP アドレスを使って指定されます。さらに、どちらのモードでも、クライアントの認証を行うようにサーバーを構成できます。

SSL セキュリティを使用するには、Sun Directory Services がインストールされているサーバーに SSL ライブラリと SKI (Sun Certificate Manager) ライブラリがなければなりません。前提条件の詳細は、『Sun Directory Services 3.1 ご使用にあたって』を参照してください。

国によっては法的な制約のために SSL は使用できません。

RADIUS サーバーによる暗号化

Sun Directory Services の RADIUS サーバーは、RADIUS プロトコルをサポートする『RFC 2138 Remote Authentication Dial In User Service』に完全に準拠しています。RADIUS プロトコルでは、Network Access Server (NAS) と RADIUS サーバーの間で渡されるパスワードは暗号化されます。暗号化機構は、共有秘密鍵を持つ MD5 XORing です。

パスワードの暗号化

ディレクトリエントリには、ディレクトリに対するユーザーの認証に使用するユーザーパスワード属性を持つことができます。デフォルトでは、このような属性の値は保護された形式で格納されます。これは、サーバー構成ファイルにキーワード {sunds} で指定されます。この暗号化アルゴリズムでは、CRAM-MD5 認証機構を使用できます。

さらに、ユーザーパスワードを crypt(3) 暗号化アルゴリズムで暗号化できます。このアルゴリズムは、通常 /etc/passwd ファイルに格納されたパスワードに適用されます。このアルゴリズムは、CRAM-MD5 認証機構では使用できません。この暗号化方式は、サーバー構成ファイルにキーワード {crypt} で指定されます。

パスワードを暗号化形式で格納するかどうかを指定する方法の詳細は、「セキュリティの構成」を参照してください。