Directory Serverのセキュリティ

Directory Serverは、ネットワークを介してセキュリティが確保された、信頼できる通信を行ういくつかのメカニズムをサポートしています。LDAPSは、SSL(Secure Socket Layer)上で実行される標準のLDAPプロトコルです。LDAPSはデータを暗号化し、オプションとして証明書を使用して認証を行います。この章でSSLという用語を使用する場合、サポートされているプロトコルSSL2、SSL3およびTLS 1.0を指します。

Directory ServerはStart TLS(Start Transport Layer Security)拡張処理もサポートしているため、元は暗号化されていないLDAP接続でもTLSを有効にできます。

さらには、SASL(Simple Authentication and Security Layer)を介したGSSAPI(Generic Security Service API)にも対応しています。GSSAPIにより、SolarisおよびLinuxオペレーティング・システムでKerberos Version 5セキュリティ・プロトコルを利用できます。アイデンティティ・マッピング・メカニズムによって、Kerberos主体とディレクトリ内のアイデンティティが関連付けられます。

セキュリティ情報の詳細は、http://www.mozilla.org/projects/security/pki/nss/のNSSのWebサイトを参照してください。

この章では、SSLによってセキュリティを構成する手順について説明します。ACIについては、第6章「Directory Serverのアクセス制御」を参照してください。ユーザー・アクセスとパスワードについては、第7章「Directory Serverのパスワード・ポリシー」を参照してください。

この章の内容は、次のとおりです。

• Directory ServerでのSSLの使用方法

• 証明書の管理

• SSL通信の構成

• 資格レベルと認証方法の構成

• LDAPクライアントでセキュリティを使用するための構成

• パススルー認証