| ナビゲーションリンクをスキップ | |
| 印刷ビューの終了 | |
|
Oracle® ZFS Storage Appliance セキュリティーガイド |
ZFSSA は、LDAP を使用して管理ユーザーと一部のデータサービスユーザー (ftp、http) の両方を認証します。LDAP over SSL セキュリティーは、ZFSSA でサポートされています。LDAP は、ユーザーやグループに関する情報の取得に使用されるほかに、次の方法で使用されます。
ユーザーやグループの名前の受け入れや表示用のユーザーインタフェースを提供する。
名前を使用する NFSv4 などのデータプロトコルで、ユーザーおよびグループとの間で名前をマッピングする。
アクセス制御で使用するグループメンバーシップを定義する。
オプションで、管理およびデータアクセス認証で使用する認証データを伝送する。
LDAP 接続は、認証メカニズムとして使用できます。たとえば、ユーザーが ZFSSA に対して認証を試みる場合、ZFSSA は、認証を検証するためのメカニズムとして、そのユーザーとして LDAP サーバーに認証を試みることができます。
LDAP 接続のセキュリティーについては、さまざまな制御が存在します。
アプライアンスからサーバーへの認証:
アプライアンスは匿名である
アプライアンスは、認証にユーザーの Kerberos 資格を使用する
アプライアンスは、認証に指定された「プロキシ」ユーザーおよびパスワードを使用する
サーバーからアプライアンスへの認証 (適正なサーバーの接続が保証される):
セキュアでない
サーバーは Kerberos を使用して認証される
サーバーは TLS 証明書を使用して認証される
Kerberos または TLS を使用する場合、LDAP 接続経由で送信されるデータは暗号化されますが、それ以外の場合は暗号化されません。TLS を使用する場合、構成時の最初の接続はセキュアではありません。サーバーの証明書は、その時点で収集されて、あとで本番接続の認証に使用されます。
認証局証明書をインポートして、複数の LDAPサーバーの認証に使用することはできません。特定の LDAP サーバーの証明書を手動でインポートすることもできません。
raw TLS (LDAPS) だけがサポートされています。セキュアでない LDAP 接続上で開始され、その後セキュアな接続に切り替えられる STARTTLS 接続は、サポートされていません。クライアント証明書の必要な LDAP サーバーは、サポートされていません。
|