このドキュメントで説明するソフトウェアは、Extended SupportまたはSustaining Supportのいずれかにあります。 詳細は、https://www.oracle.com/us/support/library/enterprise-linux-support-policies-069172.pdfを参照してください。
Oracleでは、このドキュメントに記載されているソフトウェアをできるだけ早くアップグレードすることをお薦めします。
Transport Layer Security (TLS)またはSecure Sockets Layer (SSL)を使用してLDAPサーバーへの接続を保護するようにLDAPを構成する場合は、クライアントがダウンロードできる公開証明書が必要です。 証明書は、認証局(CA)から取得することも、opensslコマンドを使用して作成することもできます。 第23.4.4項「自己署名CA証明書の作成および配布」を参照してください。
サーバー証明書、対応する秘密キーファイルおよびルートCA証明書がある場合は、/etc/openldap/certsにインストールされているデフォルトの証明書を置き換えることができます。
slapdがTLSで使用する既存の証明書のエントリを表示するには、ldapsearchコマンドを使用します。
#ldapsearch -LLL -Y EXTERNAL -H ldapi:/// -b "cn=config"\olcTLSCACertificatePath olcTLSCertificateFile olcTLSCertificateKeyFileSASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth SASL SSF: 0 dn: cn=config olcTLSCACertificatePath: /etc/openldap/certs olcTLSCertificateFile: "OpenLDAP Server" olcTLSCertificateKeyFile: /etc/openldap/certs/password ...
LDAP構成のTLS属性を置き換えるには:
属性の変更方法を定義するLDIFファイルを次の例のように作成します。
dn: cn=config changetype: modify delete: olcTLSCACertificatePath # Omit the following clause for olcTLSCACertificateFile # if you do not have a separate root CA certificate dn: cn=config changetype: modify add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certsCAcert.pem dn: cn=config changetype: modify replace: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/server-cert.pem dn: cn=config changetype: modify replace: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: /etc/ssl/certs/server-key.pem dn: cn=config changetype: modify add: olcTLSCipherSuite olcTLSCipherSuite: TLSv1+RSA:!NULL dn: cn=config changetype: modify add: olcTLSVerifyClient olcTLSVerifyClient: never
自己署名証明書と対応するキー・ファイルのみを生成する場合は、ルートCA証明書を指定する必要はありません。
ldapmodifyコマンドを使用して、LDIFファイルを適用します。
#
ldapmodify -Y EXTERNAL -H ldapi:/// -f mod-TLS.ldifSASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth SASL SSF: 0 modifying entry "cn=config" modifying entry "cn=config" modifying entry "cn=config" ...エントリが変更されたことを確認します。
#
ldapsearch -LLL -Y EXTERNAL -H ldapi:/// -b "cn=config"\olcTLSCACertificatePath olcTLSCertificateFile olcTLSCertificateKeyFileSASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth SASL SSF: 0 dn: cn=config olcTLSCACertificateFile: /etc/ssl/certs/CAcert.pem olcTLSCertificateFile: /etc/ssl/certs/server-cert.pem olcTLSCertificateKeyFile: /etc/ssl/certs/server-key.pem olcTLSCipherSuite: TLSv1+RSA:!NULL olcTLSVerifyClient: never ...slapdサービスを再起動して、新しい証明書を使用できるようにします。#
service slapd restart
詳細は、ldapmodify(1)、ldapsearch(1)およびopenssl(1)の各マニュアル・ページを参照してください。