2. Directory Serverのインスタンスと接尾辞
CA署名付きサーバー証明書と信頼できるCA証明書を追加するには:
CA署名付きサーバー証明書をエクスポートおよびインポートするには:
ユーザーが証明書のパスワード入力を求められるようにサーバーを構成するには:
Directory Serverの証明書データベースのバックアップとリストア
Directory ServerでのSASL暗号化レベルの設定
クライアントでのKerberos SASL GSSAPIの使用方法
GSSAPIとSASLを使用したKerberos認証の構成例
7. Directory Serverのパスワード・ポリシー
8. Directory Serverのバックアップとリストア
9. Directory Serverのグループ、ロールおよびCoS
16. Directory Proxy Serverのツール
17. Directory Proxy Serverのインスタンス
19. Directory Proxy Serverの証明書
20. Directory Proxy Serverのロード・バランシングとクライアント・アフィニティ
22. Directory Proxy Serverによる仮想化
24. Directory Proxy ServerとバックエンドLDAPサーバーの接続
25. クライアントとDirectory Proxy Serverの接続
26. Directory Proxy Serverのクライアント認証
27. Directory Proxy Serverのロギング
28. Directory Proxy Serverの監視とアラート
第3部 Directory Service Control Centerの管理
この項では、暗号化方式を選択する手順について説明します。
サーバー・インスタンスが作成されると、デフォルトでLDAPクリア・ポートとセキュアLDAPポート(LDAPS)が作成されます。しかし、サーバーがSSLを介してのみ通信するようにSSL以外の通信を無効にする場合もあります。
SSL接続は、デフォルトの自己署名付き証明書で有効になります。希望する場合は、自分の証明書をインストールできます。サーバーの起動後の証明書の管理と、SSLの無効化の手順については、第5章「Directory Serverのセキュリティ」を参照してください。証明書、証明書データベース、CA署名付きサーバー証明書の入手の概要については、Oracle Directory Server Enterprise Editionリファレンスを参照してください。
このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。
セキュアでないポートを無効にするには、LDAPセキュア・ポートにバインドする必要があります。この例は、ホスト・サーバーhost1上のデフォルトのLDAPセキュア・ポート1636へのバインドを示しています。
$ dsconf set-server-prop -h host1 -P 1636 ldap-port:disabled
$ dsadm restart /local/dsInst
これで、セキュアでないポート1389にバインドできなくなります。
暗号化方式は、データを暗号化、復号化するために使用するアルゴリズムです。一般に、暗号化に使用するビット数が多いほど、強度と安全性は高まります。SSLの暗号化方式は、使用するメッセージ認証のタイプによっても識別されます。メッセージ認証は、データの整合性を保証するchecksumを計算する別のアルゴリズムです。
クライアントがサーバーとのSSL通信を開始するときは、情報の暗号化に使用する暗号について、クライアントとサーバーが合意する必要があります。双方向の暗号化プロセスでは、送信側と受信側の両方が同じ暗号化方式を使用する必要があります。使用する暗号化方式は、サーバーが保存している暗号化方式のリストの現在の順序によって決まります。サーバーは、そのリスト内でクライアントに提示された暗号化方式に一致する最初の暗号化方式を選択します。Directory Serverのデフォルトの暗号化方式値はallです。これは、背後のSSLライブラリにサポートされている既知のセキュアなすべての暗号化方式を意味します。ただし、この値は特定の暗号化方式のみを受け入れるように変更できます。
Directory Serverで使用できる暗号化方式の詳細は、Oracle Directory Server Enterprise Editionリファレンスを参照してください。
このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。
「SSL通信の構成」を参照してください。
$ dsconf get-server-prop -h host -p port ssl-supported-ciphers ssl-supported-ciphers : TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA ssl-supported-ciphers : TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ssl-supported-ciphers : TLS_DHE_RSA_WITH_AES_256_CBC_SHA ssl-supported-ciphers : TLS_DHE_DSS_WITH_AES_256_CBC_SHA ...
「LDIFへのエクスポート」を参照してください。
$ dsconf set-server-prop -h host -p port ssl-cipher-family:cipher
たとえば、暗号ファミリをSSL_RSA_WITH_RC4_128_MD5とSSL_DHE_RSA_WITH_3DES_EDE_CBC_SHAに設定するには、次のように入力します。
$ dsconf set-server-prop -h host1 -P 1636 ssl-cipher-family:SSL_RSA_WITH_RC4_128_MD5 \ ssl-cipher-family:SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA Enter "cn=Directory Manager" password: Before setting SSL configuration, export Directory Server data. Do you want to continue [y/n] ? y Directory Server must be restarted for changes to take effect.
指定した暗号化方式のリストがすでに存在し、そのリストに暗号化方式を追加する場合は、次のコマンドを使用します。
$ dsconf set-server-prop -h host -p port ssl-cipher-family+:cipher
たとえば、SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA暗号化方式を追加するには、次のように入力します。
$ dsconf set-server-prop -h host1 -P 1636 \ ssl-cipher-family+:SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
$ dsadm restart /local/dsInst