Directory ServerでのSSLの使用方法

SSL(Secure Sockets Layer)は暗号化された通信と、オプションとしてDirectory Serverとクライアントの間の認証を提供します。SSLはLDAP上またはDSML-over-HTTPで使用できます。SSLは、LDAP上でデフォルトで有効になりますが、DSML-over-HTTPを使用している場合、簡単にSSLを有効にできます。さらに、サーバー間のセキュアな通信にSSLを使用するよう、レプリケーションを構成できます。

単純認証(バインドDNとパスワード)でSSLを使用すると、サーバーとやり取りしたデータがすべて暗号化されます。暗号化によって、機密性とデータの完全性が保証されます。必要に応じて、クライアントは証明書を使用してDirectory Serverへの接続の認証、およびSASL(Simple Authentication and Security Layer)を介したサード・パーティ製のセキュリティ・メカニズムへの接続の認証ができます。証明書ベースの認証では、公開鍵暗号方式を使用してクライアントまたはサーバーを偽装したり、認証されているユーザーになりすませられなくなります。

Directory Serverでは、SSLによる通信とSSLを使用しない通信を別々のポートで同時に実行できます。また、セキュリティのためにすべての通信をセキュアなLDAPポートに限定することもできます。クライアント認証も構成できます。クライアント認証を必要とする、または許可するように設定できます。この設定によって、実行するセキュリティのレベルが決定されます。

SSLによって、通常のLDAP接続をセキュリティ保護するStart TLS拡張処理のサポートも有効になります。クライアントが標準のLDAPポートにバインドされても、TLS(Transport Layer Security)プロトコルを使用して接続を保護できます。Start TLS処理では、クライアントに一層の柔軟性が与えられ、ポートの割当ても簡素化できます。

SSLが提供する暗号化メカニズムは、属性の暗号化にも使用されます。SSLを有効にすることで、接尾辞での属性の暗号化を構成し、ディレクトリに格納するときにデータを保護できます。詳細は、「属性値の暗号化」を参照してください。

これ以外のセキュリティとして、アクセス制御命令(ACI)を使用してディレクトリの内容にアクセス制御を設定できます。ACIは、特定の認証方式を必要とし、データがセキュリティ保護されたチャネルでのみ送信します。SSLと証明書の使用を補完するようにACIを設定します。詳細は、第6章「Directory Serverのアクセス制御」を参照してください。

SSLはLDAP上ではデフォルトで有効になります。DSML-over-HTTPでは簡単にSSLを有効にできます。さらに、次に説明するように、一部のSSL構成は変更が可能です。