Oracle® Solaris 11.2 ディレクトリサービスとネームサービスでの作業: LDAP

印刷ビューの終了

 
更新: 2014 年 7 月
 
 

クライアント資格レベル

LDAP サーバーは、クライアントの資格レベルに従って LDAP クライアントとの認証を行います。LDAP クライアントは、次の資格レベルのいずれかを割り当てることができます。

anonymous

anonymous 資格レベルでは、すべてのユーザーが使用可能なデータにのみアクセスできます。LDAP BIND 操作は実行されません。

anonymous 資格レベルには、高いセキュリティーリスクがあります。すべてのクライアントが、自分が書き込みアクセス権を持っている DIT 内の情報 (別のユーザーのパスワードや自分の識別情報など) を変更できます。さらに、anonymous レベルでは、すべてのクライアントがすべての LDAP ネームエントリおよび属性への読み取りアクセス権を持つことができます。

注 -  Oracle Directory Server Enterprise Edition を使用すると、IP アドレス、DNS 名、認証方法、および時間に基づいてアクセスを制限できます。つまり、セキュリティー対策を実装できます。詳細については、使用しているバージョンの Oracle Directory Server Enterprise Edition の『管理者ガイド』のアクセス権の管理に関する章を参照してください。
proxy

proxy 資格レベルでは、クライアントが LDAP バインド資格の単一の共有セットへのバインドを行います。共有セットは、プロキシアカウントとも呼ばれます。プロキシアカウントには、ディレクトリへのバインドを許可されるエントリを設定できます。このアカウントには、LDAP サーバー上でネームサービス機能を実行するのに十分なアクセス権が必要です。

プロキシアカウントは、システムごとに共有されるリソースです。つまり、プロキシアクセスを使用してシステムにログインしているユーザー (root ユーザーなど) は、同じ情報を参照します。proxy 資格レベルを使用するすべてのクライアントシステムで、proxyDN および proxyPassword 属性を構成する必要があります。さらに、proxyDN には、すべてのサーバーで同じ proxyPassword を指定する必要があります。

暗号化された proxyPassword はローカルのクライアントに格納されます。プロキシユーザーのパスワードが変更された場合は、そのプロキシユーザーを使用するすべてのクライアントでパスワードを更新する必要があります。また、LDAP アカウントのパスワード有効期間を使用する場合は、必ずプロキシユーザーを除外してください。

別のクライアントグループに対しては別のプロキシを設定できます。たとえば、すべての販売部門のクライアントが会社全体でアクセス可能なディレクトリおよび販売部門のディレクトリにのみアクセスできるように制限するプロキシを構成できます。給与情報が含まれる人事部門のディレクトリへのアクセスは禁止されます。もっとも極端な例として、各クライアントに別個のプロキシを割り当てることや、すべてのクライアントに同じプロキシを割り当てることも可能です。

さまざまなクライアントに複数のプロキシを設定する計画がある場合は、選択を慎重に検討してください。プロキシエージェントが不足していると、リソースへのユーザーアクセスを制御する能力が制限されることがあります。ただし、プロキシが多過ぎる場合、システムの設定および保守が困難になります。適切な権限をプロキシユーザーに付与する必要がありますが、その程度は環境によって異なります。どの認証方法が構成にもっとも適しているかを判定する方法については、LDAP クライアントの資格ストレージを参照してください。

proxy 資格レベルは、特定のシステム上のすべてのユーザーおよびプロセスに適用されます。異なるネーミングポリシーを使用する必要があるユーザーは、別のシステムにログインするか、ユーザー別の認証モデルを使用する必要があります。

proxy anonymous

proxy anonymous 資格レベルは複数値のエントリであり、複数の資格レベルが定義されます。このレベルでは、最初にプロキシ識別情報を使用して、割り当てられたクライアントの認証が試みられます。ユーザーのロックアウトやパスワードの期限切れなどが原因で認証に失敗した場合、クライアントは匿名アクセスを使用します。ディレクトリの構成方法に応じて、さまざまな資格レベルがさまざまなレベルのサービスに関連付けられています。

self

self 資格レベルは、ユーザー別モードとも呼ばれます。このモードでは、主体と呼ばれる Kerberos 識別情報を使用して、認証対象のシステムまたはユーザーごとに検索が実行されます。ユーザー別の認証では、システム管理者は、アクセス制御情報 (ACI)、アクセス制御リスト (ACL)、役割、グループ、またはその他のディレクトリアクセス制御メカニズムを使用して、特定のユーザーまたはシステムの特定のネームサービスデータへのアクセスを許可または拒否できます。

ユーザー別の認証モデルを使用するには、次の作業が必要です。

  • Kerberos シングルサインオンサービスの配備

  • 1 つ以上のディレクトリサーバーでの SASL および SASL/GSSAPI 認証メカニズムのサポート

  • Kerberos でホスト名の検索を実行するためにファイルとともに使用される DNS の構成

  • nscd デーモンの有効化

Copyright © 2002, 2014, Oracle and/or its affiliates. All rights reserved.  著作権について
前へ
次へ