2. Directory Serverのインスタンスと接尾辞
CA署名付きサーバー証明書と信頼できるCA証明書を追加するには:
CA署名付きサーバー証明書をエクスポートおよびインポートするには:
ユーザーが証明書のパスワード入力を求められるようにサーバーを構成するには:
Directory Serverの証明書データベースのバックアップとリストア
Directory ServerでのSASL暗号化レベルの設定
クライアントでのKerberos SASL GSSAPIの使用方法
GSSAPIとSASLを使用したKerberos認証の構成例
7. Directory Serverのパスワード・ポリシー
8. Directory Serverのバックアップとリストア
9. Directory Serverのグループ、ロールおよびCoS
16. Directory Proxy Serverのツール
17. Directory Proxy Serverのインスタンス
19. Directory Proxy Serverの証明書
20. Directory Proxy Serverのロード・バランシングとクライアント・アフィニティ
22. Directory Proxy Serverによる仮想化
24. Directory Proxy ServerとバックエンドLDAPサーバーの接続
25. クライアントとDirectory Proxy Serverの接続
26. Directory Proxy Serverのクライアント認証
27. Directory Proxy Serverのロギング
28. Directory Proxy Serverの監視とアラート
第3部 Directory Service Control Centerの管理
パススルー認証(PTA)は、バインド・リクエストがバインドDNによってフィルタされるメカニズムです。あるDirectory Server(委任者)がバインド・リクエストを受け取り、フィルタに基づいて別のDirectory Server(被委任者)にバインド・リクエストを認証するよう求めることができます。この機能の一部として、PTAプラグインによって委任者であるDirectory Serverがローカルのデータベースに保存されているとは限らないエントリに対する単純なパスワードベースのバインド操作を受け入れられるようになります。
PTAプラグインは、DSCCでサーバーとのプライベート通信にも使用されます。サーバー・インスタンスがDSCCに登録されている場合、PTAプラグインは有効になり、DSCC URLが引数として追加されます。
$ dsconf get-plugin-prop -h host -p port "Pass Through Authentication" argument : ldap://dscc_host:3998/cn=dscc depends-on-named : depends-on-type : desc : pass through authentication plugin enabled : on feature : passthruauth init-func : passthruauth_init lib-path : install-path/lib/passthru-plugin.so type : preoperation vendor : Sun Microsystems, Inc. version : 7.0
注意: サーバーがDSCCに登録されており、PTAを使用する必要がある場合、PTAプラグインを変更する際に次の設定を保存する必要があります。
enabledプロパティはonのままにします。
DSCC URLは引数で保持しますが、他の値はargumentプロパティに追加できます。
PTAプラグインが無効な場合、またはDSCC URLが引数から削除されている場合、サーバー・インスタンスはDSCCでinaccessibleと示されます。その場合、DSCCではPTAプラグインをリセットするオプションが自動的に与えられます。
また、DSCCでDirectory Serverインスタンスを登録解除してから登録しなおすことで、この問題を解決できることもあります。この操作を実行するには、DSCCを使用するか、dsccreg remove-serverコマンドおよびdsccreg add-serverコマンドを使用します。dsccregコマンドの詳細は、dsccreg(1M)を参照してください。
PTAプラグインの構成情報は、PTAサーバー上のcn=Pass Through Authentication,cn=plugins,cn=configエントリに指定されます。
PTAプラグインはシステム・プラグインであり、デフォルトでは無効です。これを有効にして設定するには、dsconfコマンドを使用するかDSCCを使用します。
次のdsconfコマンドを実行します。
$ dsconf enable-plugin -h PTAhost -p port "Pass Through Authentication" $ dsconf set-plugin-prop -h PTAhost -p port "Pass Through Authentication" \ argument:"ldap[s]://authenticatingHost[:port]/PTAsubtree options"
プラグインの引数は、認証ディレクトリ・サーバーのホスト名、オプション・ポートおよびPTAサブツリーを特定するLDAP URLを指定します。ポートを指定しない場合のデフォルト・ポートは、LDAPが389、LDAPSが636です。また、後述するオプションの接続パラメータを設定することもできます。PTAhostにPTAsubtreeが存在する場合、プラグインはバインド・リクエストをauthenticatingHostに渡さず、バインドはパススルーなしでローカルに処理されます。
「Directory Serverインスタンスの起動、停止および再起動」で説明している手順を実行してサーバーを再起動します。
PTAプラグインは、パスワードを含むバインド資格証明情報を認証ディレクトリに送信する必要があるため、セキュアな接続を使用することをお薦めします。PTAディレクトリがSSLを経由して認証ディレクトリと通信するように構成するには:
第5章「Directory Serverのセキュリティ」で説明している方法で、PTAディレクトリと認証ディレクトリの両方でSSLを構成し、有効にします。
PTAプラグインの構成を、たとえば次のように作成または変更し、LDAP URL中のLDAPSとセキュアなポートを使用できるようにします。
ldaps://host:secure-port/subtree
PTAプラグインの引数には、LDAP URLの後にオプションの接続パラメータのセットを指定できます。
http[s]://host:port/subtree [maxconns,maxops,timeout,ldapver,connlife]
パラメータは、前述の順序で指定する必要があります。これらのパラメータはオプションですが、いずれか1つを指定するときは、すべてを指定する必要があります。すべてのパラメータをカスタマイズする必要がない場合は、次のデフォルト値を指定します。subtreeパラメータとオプションパラメータの間には、必ず空白文字を挿入してください。
各LDAP URLプラグインに対して、次のオプション・パラメータを構成できます。
maxconns - PTAサーバーが認証サーバーに対して同時に開ける接続の最大数。このパラメータは、認証サーバーにパススルーできる同時バインドの最大数を制限します。デフォルト値は3です。
maxops - 単一の接続中に、PTAディレクトリ・サーバーが認証ディレクトリ・サーバーに同時に送信できるバインド・リクエストの最大数。このパラメータは、同時パススルー認証の数をさらに制限します。デフォルト値は5です。
timeout - PTAサーバーが認証サーバーからのレスポンスを待つ最大遅延時間(秒単位)。デフォルト値は300秒(5分)です。
ldapver - PTAサーバーが認証サーバーへの接続に使用するLDAPプロトコルのバージョン。LDAPv2の場合は2、LDAPv3の場合は3を指定します。デフォルト値は3です。
connlife - PTAサーバーが認証サーバーとの接続を再利用できる制限時間(秒単位)。この制限時間が過ぎてからクライアントがPTAサブツリー内のバインドをリクエストした場合は、サーバーはPTA接続を閉じてから新しいPTA接続を開きます。バインド・リクエストが開始され、サーバーによってタイムアウトが超過していると判断されないかぎり、サーバーは接続を切断しません。このオプションを指定しない場合、またはLDAP URLに指定されている認証サーバーが1つのみの場合、制限時間は適用されません。複数のホストが指定されている場合、デフォルトは300秒(5分)になります。
注意: dsconfコマンドを使用してargumentプロパティを設定する場合、空白文字を保護するには、二重引用符で値を囲みます。たとえば、次のようになります。
dsconf set-plugin-prop -h PTAhost -p port "Pass Through Authentication"\ argument:"ldaps://eastbak.example.com/ou=East,ou=People,dc=example,dc=com\ 3,5,300,3,300"
PTAプラグインを複数の引数で構成することで、複数の認証サーバー、複数のPTAサブツリー、またはその両方を指定できます。各引数には1つのLDAP URLが含まれ、それぞれに接続オプションのセットを設定できます。
同じPTAサブツリーに対して複数の認証サーバーが存在するときは、認証サーバーはフェイルオーバー・サーバーとして機能します。PTA接続のタイムアウト制限に達すると、プラグインはリストに指定されている順序でサーバーに接続します。すべての接続がタイムアウトになった場合は認証が失敗します。
複数のPTAサブツリーが定義されている場合、プラグインはバインドDNに基づいて、対応するサーバーに認証リクエストをパススルーします。次の例は、2つのPTAサブツリーを定義する4つのPTAプラグイン引数を示しています。それぞれのサブツリーには、認証のためのフェイルオーバー・サーバーと、サーバー固有の接続パラメータが指定されています。
$ dsconf set-plugin-prop -h PTAhost -p port "Pass Through Authentication"\ argument:"ldaps://configdir.example.com/o=example.com\ 10,10,60,3,300" $ dsconf set-plugin-prop -h PTAhost -p port "Pass Through Authentication"\ argument+:"ldaps://configbak.example.com/o=example.com\ 10,10,60,3,300" $ dsconf set-plugin-prop -h PTAhost -p port "Pass Through Authentication"\ argument+:"ldaps://east.example.com/ou=East,ou=People,dc=example,dc=com\ 10,10,60,3,300" $ dsconf set-plugin-prop -h PTAhost -p port "Pass Through Authentication"\ argument+:"ldaps://eastbak.example.com/ou=East,ou=People,dc=example,dc=com\ 10,10,60,3,300"