Oracle® Fusion Middleware Oracle Directory Server Enterprise Edition管理者ガイド 11g リリース1 (11.1.1.7.0) B72439-01 |
|
前 |
次 |
Directory Proxy Serverでのクライアント認証の概要は、Oracle Directory Server Enterprise Editionのリファレンスの第21章のDirectory Proxy Serverのクライアント認証についての章を参照してください。
この章の内容は、次のとおりです。
Directory Proxy Serverは、クライアントとの通信にセキュア・リスナーと非セキュア・リスナーを提供します。Directory Proxy Serverのリスナーの詳細は、Oracle Directory Server Enterprise EditionのリファレンスのDirectory Proxy Serverのクライアント・リスナーに関する項を参照してください。この項では、リスナーの構成方法について説明します。
注意: この手順では、クライアントとDirectory Proxy Serverの間に非セキュア・リスナーを構成します。セキュア・リスナーを構成するには、同じ手順を |
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
非セキュア・リスナーのプロパティを表示します。
$ dpconf get-ldap-listener-prop -h host -p port
非セキュア・リスナーのデフォルトのプロパティは、次のとおりです。
connection-idle-timeout : 1h
connection-read-data-timeout : 2s
connection-write-data-timeout : 1h
is-enabled : true
listen-address : 0.0.0.0
listen-port : port-number
max-connection-queue-size : 128
max-ldap-message-size : unlimited
number-of-threads : 2
use-tcp-keep-alive : true
use-tcp-no-delay : true
要件に応じて、「非セキュア・リスナーのプロパティを表示します。」でリストされたプロパティを1つ以上変更します。
$ dpconf set-ldap-listener-prop -h host -p port property:new-value
たとえば、host1で実行されているDirectory Proxy Serverのインスタンスの非セキュア・ポートを無効にするには、次のコマンドを実行します。
$ dpconf set-ldap-listener-prop -h host1 -p 1389 is-enabled:false
注意: 権限を持つポート番号を使用する場合、Directory Proxy Serverをrootとして実行する必要があります。 |
非セキュア・ポート番号を変更するには、次のコマンドを実行します。
$ dpconf set-ldap-listener-prop -h host -p port listen-port:new-port-number
必要な場合は、Directory Proxy Serverのインスタンスを再起動して、変更を有効にします。
特定のリスナーのプロパティを変更するには、サーバーを再起動する必要があります。サーバーを再起動する必要がある場合、dpconf
アラートが発せられます。Directory Proxy Serverの再起動については、「Directory Proxy Serverを再起動するには:」を参照してください。
デフォルトでは、Directory Proxy Serverは、単純バインド認証に構成されています。単純バインド認証には追加の構成は必要ありません。
クライアントとDirectory Proxy Serverの間の認証の詳細は、Oracle Directory Server Enterprise Editionのリファレンスのクライアント認証の概要に関する項を参照してください。認証の構成方法の詳細は、次の手順を参照してください。
クライアントの証明書ベースの認証の詳細は、Oracle Directory Server Enterprise EditionのリファレンスのDirectory Proxy Serverの証明書の構成に関する項を参照してください。この項では、証明書ベースの認証の構成方法について説明します。
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
クライアントがSSL接続を確立するときに証明書の提示が必要になるようにDirectory Proxy Serverを構成します。
$ dpconf set-server-prop -h host -p port allow-cert-based-auth:require
匿名アクセスの詳細は、Oracle Directory Server Enterprise Editionのリファレンスの匿名アクセスに関する項を参照してください。匿名クライアントのIDを別のIDにマップする方法の詳細は、「代替ユーザーとしてのリクエストの転送」を参照してください。
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
認証されていないユーザーに操作の実行を許可します。
$ dpconf set-server-prop -h host -p port \ allow-unauthenticated-operations:true
認証されていないユーザーのアクセス・モードを指定します。
$ dpconf set-server-prop -h host -p port allow-unauthenticated-operations-mode:mode
詳細は、allow-unauthenticated-operations-modeに関する説明を参照してください。
SASL外部バインドの詳細は、Oracle Directory Server Enterprise EditionのリファレンスのSASL外部バインドの使用に関する項を参照してください。
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
認証されていない操作を拒否します。
$ dpconf set-server-prop -h host -p port allow-unauthenticated-operations:false
接続を確立するときに、クライアントに証明書の提示を要求します。
$ dpconf set-server-prop -h host -p port allow-cert-based-auth:require
クライアントは、DNを含む証明書を提示します。
SASL外部バインドによって、クライアントの証明書を有効にします。
$ dpconf set-server-prop -h host -p port -e allow-sasl-external-authentication:true
クライアント証明書をバックエンドLDAPサーバーにマップするように、Directory Proxy Serverが使用するIDを構成します。
$ dpconf set-server-prop -h host -p port -e \ cert-search-bind-dn:bind-DN cert-search-bind-pwd-file:filename
Directory Proxy Serverが検索するサブツリーのベースDNを構成します。
Directory Proxy Serverは、サブツリーを検索し、クライアント証明書にマップされているユーザー・エントリを探します。
$ dpconf set-server-prop -h host -p port -e \ cert-search-base-dn:base-DN
クライアント証明書の情報をLDAPサーバー上の証明書にマップします。
証明書を含むLDAPサーバー上の属性に名前を付けます。
$ dpconf set-server-prop -e cert-search-user-attribute:attribute
クライアント証明書上の属性を証明書を含むLDAPサーバー上のエントリのDNにマップします。
$ dpconf set-server-prop -h host -p port -e \
cert-search-attr-mappings:client-side-attribute-name:
server-side-attribute-name
たとえば、DNがcn=user1,o=sun,c=us
であるクライアント証明書をDNがuid=user1,o=sun
であるLDAPエントリにマップするには、次のコマンドを実行します。
$ dpconf set-server-prop -h host1 -p 1389 -e cert-search-attr-mappings:cn:uid \ cert-search-attr-mappings:o:o
SASL外部バインド操作のリクエストをすべてのデータ・ビューまたはデータ・ビューのカスタム・リストにルーティングします。
リクエストをすべてのデータ・ビューにルーティングするには、次のコマンドを実行します。
$ dpconf set-server-prop -h host -p port -e \ cert-data-view-routing-policy:all-routable
リクエストをデータ・ビューのリストにルーティングするには、次のコマンドを実行します。
$ dpconf set-server-prop -h host -p port -e cert-data-view-routing-policy:custom \ cert-data-view-routing-custom-list:view-name [view-name...]
トラブルシューティング
前述の手順で記載されている場所すべてに-e
オプションを使用して、Directory Proxy ServerのSASL外部バインドを正常に構成します。