LDAP サーバーでは、次のセキュリティプロトコルがサポートされます。
Simple Authentication Security Layer (SASL)
Secure Socket Layer (SSL)
これらのセキュリティ機能はオプションです。デフォルトでは、クライアントは、「セキュリティ保護なし」モードのシンプルバインドでディレクトリにバインドします。
SASL は、バインドプロセスにおいて、トークンの交換によって厳格な認証を行うときに使用します。Sun Directory Services は、CRAM MD5 認証機構をサポートします。さらに、Sun Directory Services は、SSL ライブラリがサーバーにインストールされ、サーバーが TLS セキュリティをサポートするように構成されていれば、EXTERNAL 機構をサポートします。
SSL プロトコルは、ディレクトリサーバーとディレクトリクライアントの間でセキュリティ保護された接続を行うときに使用します。
Sun Directory Services では、SSL は次の 2 つのモードで動作します。
Transport Layer Security (TLS)
特定ポートでの SSL
「特定ポートでの SSL」モードでは、専用のポート (デフォルトでは、ポート 636) が使われます。TLS セキュリティモードでは、LDAP セッションの間であればいつでも「Start TLS」拡張操作を使って、セキュリティ保護された接続を開くことができます「Start TLS」操作では、クライアントは次のバインドを行うことができます。
シンプルバインド
CRAM-MD5 による SASL で保護されたバインド
実際の SSL 接続の認証による SASL で保護されたバインド
TLS モードでも「特定ポートでの SSL」モードでも、サーバーを認証するために SSL キーが必要です。このキーは、ホストマシンの IP アドレスを使って指定されます。さらに、どちらのモードでも、クライアントの認証を行うようにサーバーを構成できます。
SSL セキュリティを使用するには、Sun Directory Services がインストールされているサーバーに SSL ライブラリと SKI (Sun Certificate Manager) ライブラリがなければなりません。前提条件の詳細は、『Sun Directory Services 3.1 ご使用にあたって』を参照してください。
国によっては法的な制約のために SSL は使用できません。