JavaScriptが検索に必要です。
ナビゲーション・リンクをスキップ
印刷ビューの終了
Oracle Directory Server Enterprise Edition管理ガイド 11gリリース1(11.1.1.5.0)
検索フィルタ・アイコン
検索アイコン

ドキュメント情報

はじめに

第1部 Directory Serverの管理

1.  Directory Serverのツール

2.  Directory Serverのインスタンスと接尾辞

3.  Directory Serverの構成

4.  Directory Serverのエントリ

5.  Directory Serverのセキュリティ

Directory ServerでのSSLの使用方法

証明書の管理

デフォルトの自己署名付き証明書を表示するには:

自己署名済証明書を管理するには:

CA署名付きサーバー証明書をリクエストするには:

CA署名付きサーバー証明書と信頼できるCA証明書を追加するには:

有効期限の切れたCA署名付きサーバー証明書を更新するには:

CA署名付きサーバー証明書をエクスポートおよびインポートするには:

証明書データベース・パスワードの構成

ユーザーが証明書のパスワード入力を求められるようにサーバーを構成するには:

Directory Serverの証明書データベースのバックアップとリストア

SSL通信の構成

セキュアでない通信の無効化

LDAPクリア・ポートを無効にするには:

暗号化方式の選択

暗号化方式を選択するには:

資格レベルと認証方法の構成

Directory ServerでのSASL暗号化レベルの設定

SASL暗号化をリクエストするには:

SASL暗号化を許可しないためには:

DIGEST-MD5を利用したSASL認証

DIGEST-MD5メカニズムを構成するには:

DIGEST-MD5アイデンティティ・マッピング

GSSAPIを利用したSASL認証

Kerberosシステムを構成するには:

GSSAPIメカニズムを構成するには:

GSSAPIアイデンティティ・マッピング

LDAPクライアントでセキュリティを使用するための構成

クライアントでのSASL DIGEST-MD5の使用方法

レルムの指定

環境変数の指定

ldapsearchコマンドの例

クライアントでのKerberos SASL GSSAPIの使用方法

ホスト上でKerberos V5を構成するには:

Kerberos認証のSASLオプションを設定するには:

GSSAPIとSASLを使用したKerberos認証の構成例

パススルー認証

PTAプラグインおよびDSCC

PTAプラグインの構成

PTAプラグインの設定

セキュアな接続を使用するためのPTAの構成

オプションの接続パラメータの設定

複数のサーバーとサブツリーの指定

6.  Directory Serverのアクセス制御

7.  Directory Serverのパスワード・ポリシー

8.  Directory Serverのバックアップとリストア

9.  Directory Serverのグループ、ロールおよびCoS

10.  Directory Serverのレプリケーション

11.  Directory Serverのスキーマ

12.  Directory Serverの索引作成

13.  Directory Serverの属性値の一意性

14.  Directory Serverのロギング

15.  Directory Serverの監視

第2部 Directory Proxy Serverの管理

16.  Directory Proxy Serverのツール

17.  Directory Proxy Serverのインスタンス

18.  LDAPデータ・ビュー

19.  Directory Proxy Serverの証明書

20.  Directory Proxy Serverのロード・バランシングとクライアント・アフィニティ

21.  Directory Proxy Serverの配布

22.  Directory Proxy Serverによる仮想化

23.  仮想データ変換

24.  Directory Proxy ServerとバックエンドLDAPサーバーの接続

25.  クライアントとDirectory Proxy Serverの接続

26.  Directory Proxy Serverのクライアント認証

27.  Directory Proxy Serverのロギング

28.  Directory Proxy Serverの監視とアラート

第3部 Directory Service Control Centerの管理

29.  Directory Service Control Centerの構成

索引

SSL通信の構成

この項では、暗号化方式を選択する手順について説明します。

セキュアでない通信の無効化

サーバー・インスタンスが作成されると、デフォルトでLDAPクリア・ポートとセキュアLDAPポート(LDAPS)が作成されます。しかし、サーバーがSSLを介してのみ通信するようにSSL以外の通信を無効にする場合もあります。

SSL接続は、デフォルトの自己署名付き証明書で有効になります。希望する場合は、自分の証明書をインストールできます。サーバーの起動後の証明書の管理と、SSLの無効化の手順については、第5章「Directory Serverのセキュリティ」を参照してください。証明書、証明書データベース、CA署名付きサーバー証明書の入手の概要については、Oracle Directory Server Enterprise Editionリファレンスを参照してください。

LDAPクリア・ポートを無効にするには:

このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。

  1. LDAPクリア・ポートを無効にします。

    セキュアでないポートを無効にするには、LDAPセキュア・ポートにバインドする必要があります。この例は、ホスト・サーバーhost1上のデフォルトのLDAPセキュア・ポート1636へのバインドを示しています。

    $ dsconf set-server-prop -h host1 -P 1636 ldap-port:disabled
  2. 変更内容が反映されるようにサーバーを再起動します。
    $ dsadm restart /local/dsInst

    これで、セキュアでないポート1389にバインドできなくなります。

暗号化方式の選択

暗号化方式は、データを暗号化、復号化するために使用するアルゴリズムです。一般に、暗号化に使用するビット数が多いほど、強度と安全性は高まります。SSLの暗号化方式は、使用するメッセージ認証のタイプによっても識別されます。メッセージ認証は、データの整合性を保証するchecksumを計算する別のアルゴリズムです。

クライアントがサーバーとのSSL通信を開始するときは、情報の暗号化に使用する暗号について、クライアントとサーバーが合意する必要があります。双方向の暗号化プロセスでは、送信側と受信側の両方が同じ暗号化方式を使用する必要があります。使用する暗号化方式は、サーバーが保存している暗号化方式のリストの現在の順序によって決まります。サーバーは、そのリスト内でクライアントに提示された暗号化方式に一致する最初の暗号化方式を選択します。Directory Serverのデフォルトの暗号化方式値はallです。これは、背後のSSLライブラリにサポートされている既知のセキュアなすべての暗号化方式を意味します。ただし、この値は特定の暗号化方式のみを受け入れるように変更できます。

Directory Serverで使用できる暗号化方式の詳細は、Oracle Directory Server Enterprise Editionリファレンスを参照してください。

暗号化方式を選択するには:

このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。

  1. サーバーに対してSSLが有効であることを確認します。

    「SSL通信の構成」を参照してください。

  2. 使用可能なSSL暗号化方式を表示します。
    $ dsconf get-server-prop -h host -p port ssl-supported-ciphers
    ssl-supported-ciphers  :  TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
    ssl-supported-ciphers  :  TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
    ssl-supported-ciphers  :  TLS_DHE_RSA_WITH_AES_256_CBC_SHA
    ssl-supported-ciphers  :  TLS_DHE_DSS_WITH_AES_256_CBC_SHA 
    ...
  3. (オプション)暗号化されていないデータのコピーを維持する場合は、SSL暗号化方式を設定する前にデータをエクスポートします。

    「LDIFへのエクスポート」を参照してください。

  4. SSL暗号化方式を設定します。
    $ dsconf set-server-prop -h host -p port ssl-cipher-family:cipher

    たとえば、暗号ファミリをSSL_RSA_WITH_RC4_128_MD5SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHAに設定するには、次のように入力します。

    $ dsconf set-server-prop -h host1 -P 1636 ssl-cipher-family:SSL_RSA_WITH_RC4_128_MD5 \
     ssl-cipher-family:SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
    Enter "cn=Directory Manager" password:  
    Before setting SSL configuration, export Directory Server data. 
    Do you want to continue [y/n] ? y
    Directory Server must be restarted for changes to take effect.
  5. (オプション)既存のリストにSSL暗号化方式を追加します。

    指定した暗号化方式のリストがすでに存在し、そのリストに暗号化方式を追加する場合は、次のコマンドを使用します。

    $ dsconf set-server-prop -h host -p port ssl-cipher-family+:cipher

    たとえば、SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA暗号化方式を追加するには、次のように入力します。

    $ dsconf set-server-prop -h host1 -P 1636 \
     ssl-cipher-family+:SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
  6. 変更内容が反映されるようにサーバーを再起動します。
    $ dsadm restart /local/dsInst