JavaScriptが検索に必要です。
ナビゲーション・リンクをスキップ
印刷ビューの終了
Oracle Directory Server Enterprise Edition管理ガイド 11gリリース1(11.1.1.5.0)
Oracle Technology Network
ライブラリ
PDF
印刷表示
フィードバック
検索フィルタ・アイコン
検索アイコン

ドキュメント情報

はじめに

第1部 Directory Serverの管理

1.  Directory Serverのツール

2.  Directory Serverのインスタンスと接尾辞

3.  Directory Serverの構成

4.  Directory Serverのエントリ

5.  Directory Serverのセキュリティ

Directory ServerでのSSLの使用方法

証明書の管理

デフォルトの自己署名付き証明書を表示するには:

自己署名済証明書を管理するには:

CA署名付きサーバー証明書をリクエストするには:

CA署名付きサーバー証明書と信頼できるCA証明書を追加するには:

有効期限の切れたCA署名付きサーバー証明書を更新するには:

CA署名付きサーバー証明書をエクスポートおよびインポートするには:

証明書データベース・パスワードの構成

ユーザーが証明書のパスワード入力を求められるようにサーバーを構成するには:

Directory Serverの証明書データベースのバックアップとリストア

SSL通信の構成

セキュアでない通信の無効化

LDAPクリア・ポートを無効にするには:

暗号化方式の選択

暗号化方式を選択するには:

資格レベルと認証方法の構成

Directory ServerでのSASL暗号化レベルの設定

SASL暗号化をリクエストするには:

SASL暗号化を許可しないためには:

DIGEST-MD5を利用したSASL認証

DIGEST-MD5メカニズムを構成するには:

DIGEST-MD5アイデンティティ・マッピング

GSSAPIを利用したSASL認証

Kerberosシステムを構成するには:

GSSAPIメカニズムを構成するには:

GSSAPIアイデンティティ・マッピング

LDAPクライアントでセキュリティを使用するための構成

クライアントでのSASL DIGEST-MD5の使用方法

レルムの指定

環境変数の指定

ldapsearchコマンドの例

クライアントでのKerberos SASL GSSAPIの使用方法

ホスト上でKerberos V5を構成するには:

Kerberos認証のSASLオプションを設定するには:

GSSAPIとSASLを使用したKerberos認証の構成例

パススルー認証

PTAプラグインおよびDSCC

PTAプラグインの構成

PTAプラグインの設定

セキュアな接続を使用するためのPTAの構成

オプションの接続パラメータの設定

複数のサーバーとサブツリーの指定

6.  Directory Serverのアクセス制御

7.  Directory Serverのパスワード・ポリシー

8.  Directory Serverのバックアップとリストア

9.  Directory Serverのグループ、ロールおよびCoS

10.  Directory Serverのレプリケーション

11.  Directory Serverのスキーマ

12.  Directory Serverの索引作成

13.  Directory Serverの属性値の一意性

14.  Directory Serverのロギング

15.  Directory Serverの監視

第2部 Directory Proxy Serverの管理

16.  Directory Proxy Serverのツール

17.  Directory Proxy Serverのインスタンス

18.  LDAPデータ・ビュー

19.  Directory Proxy Serverの証明書

20.  Directory Proxy Serverのロード・バランシングとクライアント・アフィニティ

21.  Directory Proxy Serverの配布

22.  Directory Proxy Serverによる仮想化

23.  仮想データ変換

24.  Directory Proxy ServerとバックエンドLDAPサーバーの接続

25.  クライアントとDirectory Proxy Serverの接続

26.  Directory Proxy Serverのクライアント認証

27.  Directory Proxy Serverのロギング

28.  Directory Proxy Serverの監視とアラート

第3部 Directory Service Control Centerの管理

29.  Directory Service Control Centerの構成

索引

パススルー認証

パススルー認証(PTA)は、バインド・リクエストがバインドDNによってフィルタされるメカニズムです。あるDirectory Server(委任者)がバインド・リクエストを受け取り、フィルタに基づいて別のDirectory Server(被委任者)にバインド・リクエストを認証するよう求めることができます。この機能の一部として、PTAプラグインによって委任者であるDirectory Serverがローカルのデータベースに保存されているとは限らないエントリに対する単純なパスワードベースのバインド操作を受け入れられるようになります。

PTAプラグインおよびDSCC

PTAプラグインは、DSCCでサーバーとのプライベート通信にも使用されます。サーバー・インスタンスがDSCCに登録されている場合、PTAプラグインは有効になり、DSCC URLが引数として追加されます。

$ dsconf get-plugin-prop -h host -p port "Pass Through Authentication"

argument          :  ldap://dscc_host:3998/cn=dscc
depends-on-named  :
depends-on-type   :
desc              :  pass through authentication plugin
enabled           :  on
feature           :  passthruauth
init-func         :  passthruauth_init
lib-path          :  install-path/lib/passthru-plugin.so
type              :  preoperation
vendor            :  Sun Microsystems, Inc.
version           :  7.0

注意: サーバーがDSCCに登録されており、PTAを使用する必要がある場合、PTAプラグインを変更する際に次の設定を保存する必要があります。

PTAプラグインが無効な場合、またはDSCC URLが引数から削除されている場合、サーバー・インスタンスはDSCCでinaccessibleと示されます。その場合、DSCCではPTAプラグインをリセットするオプションが自動的に与えられます。

また、DSCCでDirectory Serverインスタンスを登録解除してから登録しなおすことで、この問題を解決できることもあります。この操作を実行するには、DSCCを使用するか、dsccreg remove-serverコマンドおよびdsccreg add-serverコマンドを使用します。dsccregコマンドの詳細は、dsccreg(1M)を参照してください。

PTAプラグインの構成

PTAプラグインの構成情報は、PTAサーバー上のcn=Pass Through Authentication,cn=plugins,cn=configエントリに指定されます。

PTAプラグインはシステム・プラグインであり、デフォルトでは無効です。これを有効にして設定するには、dsconfコマンドを使用するかDSCCを使用します。

PTAプラグインの設定

  1. 次のdsconfコマンドを実行します。

    $ dsconf enable-plugin -h PTAhost -p port "Pass Through Authentication"
$ dsconf set-plugin-prop -h PTAhost -p port "Pass Through Authentication" \
argument:"ldap[s]://authenticatingHost[:port]/PTAsubtree options"

    プラグインの引数は、認証ディレクトリ・サーバーのホスト名、オプション・ポートおよびPTAサブツリーを特定するLDAP URLを指定します。ポートを指定しない場合のデフォルト・ポートは、LDAPが389、LDAPSが636です。また、後述するオプションの接続パラメータを設定することもできます。PTAhostPTAsubtreeが存在する場合、プラグインはバインド・リクエストをauthenticatingHostに渡さず、バインドはパススルーなしでローカルに処理されます。

  2. 「Directory Serverインスタンスの起動、停止および再起動」で説明している手順を実行してサーバーを再起動します。

セキュアな接続を使用するためのPTAの構成

PTAプラグインは、パスワードを含むバインド資格証明情報を認証ディレクトリに送信する必要があるため、セキュアな接続を使用することをお薦めします。PTAディレクトリがSSLを経由して認証ディレクトリと通信するように構成するには:

オプションの接続パラメータの設定

PTAプラグインの引数には、LDAP URLの後にオプションの接続パラメータのセットを指定できます。

http[s]://host:port/subtree [maxconns,maxops,timeout,ldapver,connlife]

パラメータは、前述の順序で指定する必要があります。これらのパラメータはオプションですが、いずれか1つを指定するときは、すべてを指定する必要があります。すべてのパラメータをカスタマイズする必要がない場合は、次のデフォルト値を指定します。subtreeパラメータとオプションパラメータの間には、必ず空白文字を挿入してください。

各LDAP URLプラグインに対して、次のオプション・パラメータを構成できます。

注意: dsconfコマンドを使用してargumentプロパティを設定する場合、空白文字を保護するには、二重引用符で値を囲みます。たとえば、次のようになります。

dsconf set-plugin-prop -h PTAhost -p port "Pass Through Authentication"\
 argument:"ldaps://eastbak.example.com/ou=East,ou=People,dc=example,dc=com\
 3,5,300,3,300"

複数のサーバーとサブツリーの指定

PTAプラグインを複数の引数で構成することで、複数の認証サーバー、複数のPTAサブツリー、またはその両方を指定できます。各引数には1つのLDAP URLが含まれ、それぞれに接続オプションのセットを設定できます。

同じPTAサブツリーに対して複数の認証サーバーが存在するときは、認証サーバーはフェイルオーバー・サーバーとして機能します。PTA接続のタイムアウト制限に達すると、プラグインはリストに指定されている順序でサーバーに接続します。すべての接続がタイムアウトになった場合は認証が失敗します。

複数のPTAサブツリーが定義されている場合、プラグインはバインドDNに基づいて、対応するサーバーに認証リクエストをパススルーします。次の例は、2つのPTAサブツリーを定義する4つのPTAプラグイン引数を示しています。それぞれのサブツリーには、認証のためのフェイルオーバー・サーバーと、サーバー固有の接続パラメータが指定されています。

$ dsconf set-plugin-prop -h PTAhost -p port "Pass Through Authentication"\
 argument:"ldaps://configdir.example.com/o=example.com\
 10,10,60,3,300"
$ dsconf set-plugin-prop -h PTAhost -p port "Pass Through Authentication"\
 argument+:"ldaps://configbak.example.com/o=example.com\
 10,10,60,3,300"
$ dsconf set-plugin-prop -h PTAhost -p port "Pass Through Authentication"\
 argument+:"ldaps://east.example.com/ou=East,ou=People,dc=example,dc=com\
 10,10,60,3,300"
$ dsconf set-plugin-prop -h PTAhost -p port "Pass Through Authentication"\
 argument+:"ldaps://eastbak.example.com/ou=East,ou=People,dc=example,dc=com\
 10,10,60,3,300"
Copyright (C) 2011, Oracle and/or its affiliates.All rights reserved.法律上の注意点
戻る 次へ