2. Directory Serverのインスタンスと接尾辞
CA署名付きサーバー証明書と信頼できるCA証明書を追加するには:
CA署名付きサーバー証明書をエクスポートおよびインポートするには:
ユーザーが証明書のパスワード入力を求められるようにサーバーを構成するには:
Directory Serverの証明書データベースのバックアップとリストア
Directory ServerでのSASL暗号化レベルの設定
クライアントでのKerberos SASL GSSAPIの使用方法
GSSAPIとSASLを使用したKerberos認証の構成例
7. Directory Serverのパスワード・ポリシー
8. Directory Serverのバックアップとリストア
9. Directory Serverのグループ、ロールおよびCoS
16. Directory Proxy Serverのツール
17. Directory Proxy Serverのインスタンス
19. Directory Proxy Serverの証明書
20. Directory Proxy Serverのロード・バランシングとクライアント・アフィニティ
22. Directory Proxy Serverによる仮想化
24. Directory Proxy ServerとバックエンドLDAPサーバーの接続
25. クライアントとDirectory Proxy Serverの接続
26. Directory Proxy Serverのクライアント認証
27. Directory Proxy Serverのロギング
28. Directory Proxy Serverの監視とアラート
第3部 Directory Service Control Centerの管理
SSL(Secure Sockets Layer)は暗号化された通信と、オプションとしてDirectory Serverとクライアントの間の認証を提供します。SSLはLDAP上またはDSML-over-HTTPで使用できます。SSLは、LDAP上でデフォルトで有効になりますが、DSML-over-HTTPを使用している場合、簡単にSSLを有効にできます。さらに、サーバー間のセキュアな通信にSSLを使用するよう、レプリケーションを構成できます。
単純認証(バインドDNとパスワード)でSSLを使用すると、サーバーとやり取りしたデータがすべて暗号化されます。暗号化によって、機密性とデータの完全性が保証されます。必要に応じて、クライアントは証明書を使用してDirectory Serverへの接続の認証、およびSASL(Simple Authentication and Security Layer)を介したサード・パーティ製のセキュリティ・メカニズムへの接続の認証ができます。証明書ベースの認証では、公開鍵暗号方式を使用してクライアントまたはサーバーを偽装したり、認証されているユーザーになりすませられなくなります。
Directory Serverでは、SSLによる通信とSSLを使用しない通信を別々のポートで同時に実行できます。また、セキュリティのためにすべての通信をセキュアなLDAPポートに限定することもできます。クライアント認証も構成できます。クライアント認証を必要とする、または許可するように設定できます。この設定によって、実行するセキュリティのレベルが決定されます。
SSLによって、通常のLDAP接続をセキュリティ保護するStart TLS拡張処理のサポートも有効になります。クライアントが標準のLDAPポートにバインドされても、TLS(Transport Layer Security)プロトコルを使用して接続を保護できます。Start TLS処理では、クライアントに一層の柔軟性が与えられ、ポートの割当ても簡素化できます。
SSLが提供する暗号化メカニズムは、属性の暗号化にも使用されます。SSLを有効にすることで、接尾辞での属性の暗号化を構成し、ディレクトリに格納するときにデータを保護できます。詳細は、「属性値の暗号化」を参照してください。
これ以外のセキュリティとして、アクセス制御命令(ACI)を使用してディレクトリの内容にアクセス制御を設定できます。ACIは、特定の認証方式を必要とし、データがセキュリティ保護されたチャネルでのみ送信します。SSLと証明書の使用を補完するようにACIを設定します。詳細は、第6章「Directory Serverのアクセス制御」を参照してください。
SSLはLDAP上ではデフォルトで有効になります。DSML-over-HTTPでは簡単にSSLを有効にできます。さらに、次に説明するように、一部のSSL構成は変更が可能です。