Sun Java System Directory Server Enterprise Edition 6.2 管理ガイド

Directory Proxy Server に対するクライアントの認証

デフォルトでは、Directory Proxy Server は単純バインド認証用に設定されています。単純バインド認証では、追加の設定は必要ありません。

クライアントと Directory Proxy Server 間の認証については、『Sun Java System Directory Server Enterprise Edition 6.2 Reference』「Client Authentication Overview」を参照してください。認証の設定方法については、次の手順を参照してください。

Procedure証明書ベースの認証を設定する

クライアントの証明書ベースの認証については、『Sun Java System Directory Server Enterprise Edition 6.2 Reference』「Configuring Certificates in Directory Proxy Server」を参照してください。この節では、証明書ベースの認証の設定方法について説明します。

DSCC を使用してこの作業を実行できます。詳細は、「Directory Service Control Center のインタフェース」と DSCC のオンラインヘルプを参照してください。


注 –

証明書ベースの認証は、SSL 接続でのみ実行できます。


  1. クライアントが SSL 接続を確立する場合に証明書の提示を必要とするように Directory Proxy Server を設定します。


    $ dpconf set-server-prop -h host -p port allow-cert-based-auth:require

Procedure匿名アクセスを設定する

匿名アクセスについては、『Sun Java System Directory Server Enterprise Edition 6.2 Reference』「Anonymous Access」を参照してください。匿名クライアントのアイデンティティーを別のアイデンティティーにマップする方法については、「代替ユーザーとしての要求の転送」を参照してください。

DSCC を使用してこの作業を実行できます。詳細は、「Directory Service Control Center のインタフェース」と DSCC のオンラインヘルプを参照してください。

  1. 非認証ユーザーに操作の実行を許可します。


    $ dpconf set-server-prop -h host -p port allow-unauthenticated-operations:true

ProcedureSASL 外部バインド用に Directory Proxy Server を設定する

SASL 外部バインドについては、『Sun Java System Directory Server Enterprise Edition 6.2 Reference』「Using SASL External Bind」を参照してください。

DSCC を使用してこの作業を実行できます。詳細は、「Directory Service Control Center のインタフェース」と DSCC のオンラインヘルプを参照してください。

  1. 非認証操作を禁止します。


    $ dpconf set-server-prop -h host -p port allow-unauthenticated-operations:false
  2. 接続の確立時に証明書を提示するようクライアントに求めます。


    $ dpconf set-server-prop -h host -p port allow-cert-based-auth:require

    クライアントが DN が含まれた証明書を提供します。

  3. SASL 外部バインドによってクライアントの認証を有効にします。


    $ dpconf set-server-prop -h host -p port allow-sasl-external-authentication:true
  4. バックエンド LDAP サーバーでクライアント証明書をマップするために Directory Proxy Server に使用されアイデンティティーを設定します。


    $ dpconf set-server-prop -h host -p port cert-search-bind-dn:bind-DN \
     cert-search-bind-pwd-file:filename
    
  5. Directory Proxy Server が検索するサブツリーのベース DN を設定します。

    Directory Proxy Server がサブツリーを検索し、クライアント証明書にマップされたユーザーエントリを見つけます。


    $ dpconf set-server-prop -h host -p port cert-search-base-dn:base-DN
    
  6. クライアント証明書の情報を LDAP サーバー上の証明書にマップします。

    1. 証明書を含む LDAP サーバー上の属性に名前を付けます。


      $ dpconf set-server-prop cert-search-user-attribute:attribute
      
    2. クライアント証明書上の属性を、証明書のある LDAP サーバー上のエントリの DN にマップします。


      $ dpconf set-server-prop -h host -p port \
       cert-search-attr-mappings:client-side-attribute-name:server-side-attribute-name
      

      たとえば、DN が cn=user1,o=sun,c=us のクライアント証明書を DN が uid=user1,o=sun の LDAP エントリにマップするには、次のコマンドを実行します。


      $ dpconf set-server-prop -h host1 -p 1389 cert-search-attr-mappings:cn:uid \
       cert-search-attr-mappings:o:o
      
  7. (省略可能) SASL 外部バインド操作の要求をすべてのデータビューまたはデータビューのカスタムリストに経路指定します。

    • すべてのデータビューに要求を経路指定するには、次のコマンドを実行します。


      $ dpconf set-server-prop -h host -p port cert-data-view-routing-policy:all-routable
    • データビューのリストに要求を経路指定するには、次のコマンドを実行します。


    $ dpconf set-server-prop -h host -p port cert-data-view-routing-policy:custom \
     cert-data-view-routing-custom-list:view-name [view-name...]