22 Directory Proxy Serverのセキュリティ

この章では、Directory Proxy Serverを通過するデータを保護するために使用できるメカニズムについて説明します。

この章の内容は次のとおりです。

• Directory Proxy Serverでのセキュリティ

• Directory Proxy ServerのSecure Sockets Layer

• Directory Proxy Serverの暗号およびプロトコル

22.1 Directory Proxy Serverでのセキュリティ

Directory Proxy Serverには、次の方法を組み合せたセキュリティが用意されています。

• 暗号化

  暗号化は情報の秘密を保護します。データが暗号化されるとき、そのデータは正当な受信者のみがデコードできる方法でスクランブルされます。Directory Proxy ServerではSSL暗号化がサポートされています。SSLの詳細は、「Directory Proxy ServerのSecure Sockets Layer」を参照してください。

• 認証

  認証は、一方が他方のIDを検証する方法です。たとえば、クライアントはLDAPバインド操作中にDirectory Proxy Serverにパスワードを渡します。ポリシーは、パスワードが有効とみなされるために満たす必要がある基準(期間、長さ、構文など)を定義します。Directory Proxy Serverでは非同期認証、パスワード・ベースの認証、および証明書ベースの認証がサポートされています。認証の詳細は、第21章「Directory Proxy Serverのクライアント認証」を参照してください。

• アクセス制御命令(ACI)

  ACIは、クライアント・アプリケーションに付与されたアクセス権を管理し、必要な資格証明やバインド属性を指定する方法を提供します。Directory Proxy Serverは、リクエスト・フィルタリング・ポリシおよび仮想ACIを使用してアクセス制御を実装します。リクエスト・フィルタリング・ポリシーの詳細は、「接続ハンドラのリクエスト・フィルタリング・ポリシー」を参照してください。仮想ACIの詳細は、「仮想データ・ビューのアクセス制御」を参照してください。

• 監査およびログ

  監査を使用して、セキュリティが損なわれていないかどうかを判別できます。Directory Proxy Serverに保持されているログ・ファイルを監査して、誰がサーバーにアクセスしたか、行われた操作は何かを追跡できます。ログ・ファイルの詳細は、第24章「Directory Proxy Serverのアラートおよび監視」および第23章「Directory Proxy Serverのロギング」を参照してください。

22.2 Directory Proxy ServerのSecure Sockets Layer

Secure Sockets Layer (SSL)はクライアントとDirectory Proxy Server間の暗号化した通信を提供します。認証とともにSSLを使用することにより、Directory Proxy Serverから送受信されるデータを暗号化できます。

Directory Proxy Serverのインスタンスが作成されるときに、SSLはデフォルトで有効化され、次のディレクトリおよびファイルが作成されます。

証明書データベースを保護するためのランダムで生成されたパスワード

このパスワードはinstance-path/etc/pass.txtに保管されます。

証明書のキーストア・データベース

このキーストア・データベースはinstance-path/alias/cert.jksにあります。

対称暗号化キーのキーストア・データベース

このキーストア・データベースはinstance-path/alias/key.jceksにあります。

キーストア・データベースは同じパスワードで保護されています。

SSLの詳細は、「Secure Sockets Layer (SSL)」を参照してください。ログ・ファイルの構成方法の詳細は、『Oracle Directory Server Enterprise Edition管理者ガイド』のクライアントとDirectory Proxy Serverの間のリスナーの構成に関する説明を参照してください。

Directory Proxy ServerではStart TLS拡張操作がサポートされています。StartTLSを使用して通常のLDAP接続に対するセキュリティを提供できます。StartTLSでは、クライアントは非セキュア・ポートをバインドしてからTLSプロトコルを使用してセキュア接続を開始できます。

22.3 Directory Proxy Serverの暗号およびプロトコル

Directory Proxy Serverで使用できる暗号およびプロトコルは、使用されているJVMに応じて異なります。デフォルトで、Directory Proxy ServerはJVM用のデフォルトの暗号およびプロトコルを使用します。

暗号およびプロトコルのリストはdpconfコマンドを使用して取得できます。

有効化されている暗号

LDAPリスナーおよびLDAPSリスナーの両方に対して現在有効にされている暗号のリストです。LDAPリスナーとLDAPSリスナーは同期されるため、プロパティはグローバル・サーバー構成の一部であり、リスナー構成の一部ではありません。

サポートされている暗号

Directory Proxy Serverに対してJVMによりサポートされている暗号のリストです。

ルートDSEには、supportedSSLCiphers属性でサポートされているすべての暗号がリストされています。

enabledSSLCiphers属性はsupportedSSLCiphers属性のサブセットです。

有効化されているプロトコル

LDAPリスナーおよびLDAPSリスナーの両方に対して現在有効にされているプロトコルのリストです。LDAPリスナーとLDAPSリスナーは同期されるため、プロパティはグローバル・サーバー構成の一部であり、リスナー構成の一部ではありません。

サポートされているプロトコル。

Directory Proxy Serverに対してJVMによりサポートされているプロトコルのリストです。

暗号スイートのリファレンス情報については、「SSLで使用される暗号化アルゴリズム」を参照してください。ログ・ファイルの構成方法の詳細は、『Oracle Directory Server Enterprise Edition管理者ガイド』のDirectory Proxy ServerのSSL暗号およびSSLプロトコルの選択に関する説明を参照してください。