Oracle® Fusion Middleware Oracle Directory Server Enterprise Editionリファレンス 11g リリース1 (11.1.1.7.0) B72441-01 |
|
前 |
次 |
この章では、Directory Proxy Serverを通過するデータを保護するために使用できるメカニズムについて説明します。
この章の内容は次のとおりです。
Directory Proxy Serverには、次の方法を組み合せたセキュリティが用意されています。
暗号化
暗号化は情報の秘密を保護します。データが暗号化されるとき、そのデータは正当な受信者のみがデコードできる方法でスクランブルされます。Directory Proxy ServerではSSL暗号化がサポートされています。SSLの詳細は、「Directory Proxy ServerのSecure Sockets Layer」を参照してください。
認証
認証は、一方が他方のIDを検証する方法です。たとえば、クライアントはLDAPバインド操作中にDirectory Proxy Serverにパスワードを渡します。ポリシーは、パスワードが有効とみなされるために満たす必要がある基準(期間、長さ、構文など)を定義します。Directory Proxy Serverでは非同期認証、パスワード・ベースの認証、および証明書ベースの認証がサポートされています。認証の詳細は、第21章「Directory Proxy Serverのクライアント認証」を参照してください。
アクセス制御命令(ACI)
ACIは、クライアント・アプリケーションに付与されたアクセス権を管理し、必要な資格証明やバインド属性を指定する方法を提供します。Directory Proxy Serverは、リクエスト・フィルタリング・ポリシおよび仮想ACIを使用してアクセス制御を実装します。リクエスト・フィルタリング・ポリシーの詳細は、「接続ハンドラのリクエスト・フィルタリング・ポリシー」を参照してください。仮想ACIの詳細は、「仮想データ・ビューのアクセス制御」を参照してください。
監査およびログ
監査を使用して、セキュリティが損なわれていないかどうかを判別できます。Directory Proxy Serverに保持されているログ・ファイルを監査して、誰がサーバーにアクセスしたか、行われた操作は何かを追跡できます。ログ・ファイルの詳細は、第24章「Directory Proxy Serverのアラートおよび監視」および第23章「Directory Proxy Serverのロギング」を参照してください。
Secure Sockets Layer (SSL)はクライアントとDirectory Proxy Server間の暗号化した通信を提供します。認証とともにSSLを使用することにより、Directory Proxy Serverから送受信されるデータを暗号化できます。
Directory Proxy Serverのインスタンスが作成されるときに、SSLはデフォルトで有効化され、次のディレクトリおよびファイルが作成されます。
このパスワードはinstance-path/etc/pass.txt
に保管されます。
このキーストア・データベースはinstance-path/alias/cert.jks
にあります。
このキーストア・データベースはinstance-path/alias/key.jceks
にあります。
キーストア・データベースは同じパスワードで保護されています。
SSLの詳細は、「Secure Sockets Layer (SSL)」を参照してください。ログ・ファイルの構成方法の詳細は、『Oracle Directory Server Enterprise Edition管理者ガイド』のクライアントとDirectory Proxy Serverの間のリスナーの構成に関する説明を参照してください。
Directory Proxy ServerではStart TLS拡張操作がサポートされています。StartTLSを使用して通常のLDAP接続に対するセキュリティを提供できます。StartTLSでは、クライアントは非セキュア・ポートをバインドしてからTLSプロトコルを使用してセキュア接続を開始できます。
Directory Proxy Serverで使用できる暗号およびプロトコルは、使用されているJVMに応じて異なります。デフォルトで、Directory Proxy ServerはJVM用のデフォルトの暗号およびプロトコルを使用します。
暗号およびプロトコルのリストはdpconf
コマンドを使用して取得できます。
LDAPリスナーおよびLDAPSリスナーの両方に対して現在有効にされている暗号のリストです。LDAPリスナーとLDAPSリスナーは同期されるため、プロパティはグローバル・サーバー構成の一部であり、リスナー構成の一部ではありません。
Directory Proxy Serverに対してJVMによりサポートされている暗号のリストです。
ルートDSEには、supportedSSLCiphers
属性でサポートされているすべての暗号がリストされています。
enabledSSLCiphers
属性はsupportedSSLCiphers
属性のサブセットです。
LDAPリスナーおよびLDAPSリスナーの両方に対して現在有効にされているプロトコルのリストです。LDAPリスナーとLDAPSリスナーは同期されるため、プロパティはグローバル・サーバー構成の一部であり、リスナー構成の一部ではありません。
Directory Proxy Serverに対してJVMによりサポートされているプロトコルのリストです。
暗号スイートのリファレンス情報については、「SSLで使用される暗号化アルゴリズム」を参照してください。ログ・ファイルの構成方法の詳細は、『Oracle Directory Server Enterprise Edition管理者ガイド』のDirectory Proxy ServerのSSL暗号およびSSLプロトコルの選択に関する説明を参照してください。