LDAP ネームサービスの認証方法
proxy または proxy-anonymous の資格レベルをクライアントに割り当てる場合は、プロキシを認証する方法も選択する必要があります。デフォルトの認証方式は none (匿名によるアクセス) です。認証方法には、関連するトランスポートセキュリティーオプションが含まれることもあります。
この認証方法は、資格レベルと同様に、複数値にすることができます。たとえば、クライアントプロファイルを設定することにより、クライアントが TLS でセキュリティー保護された simple メソッドを最初に使用してバインドを試みるようにできます。これが成功しない場合、クライアントは sasl/digest-MD5 メソッドを使用してバインドを試みます。この場合、authenticationMethod 属性を tls:simple;sasl/digest-MD5 のように構成します。
LDAP ネームサービスは、いくつかの Simple Authentication and Security Layer (SASL) メカニズムをサポートします。これらのメカニズムを使用すると、TLS なしでセキュアなパスワードを交換できます。ただし、これらのメカニズムはデータの完全性や機密性を保証するものではありません。SASL については、IETF の Web サイトで RFC 4422 を検索してください。
次の認証メカニズムがサポートされています。
- none
- simple
-
クライアントシステムは、ユーザーのパスワードを平文で送信してサーバーへのバインドを実行します。このため、セッションが IPsec により保護されていない限り、パスワードが漏洩しやすくなります。認証方式 simple を使用する主な利点は、すべてのディレクトリサーバーがこの方式をサポートしていること、および設定が容易であるという点です。
- sasl/digest-MD5
-
クライアントのパスワードは認証中に保護されますが、セッションは暗号化されません。digest-MD5 の主な利点は、認証中にパスワードが平文で転送されないことと、simple 認証方法よりセキュアであることです。digest-MD5 については、IETF の Web サイトで RFC 2831 を検索してください。digest-MD5 は cram-MD5 よりも改善されています。
sasl/digest-MD5 を使用する場合、認証はセキュリティー保護されますがセッションは保護されません。
注 - Oracle Directory Server Enterprise Edition を使用している場合は、パスワードをディレクトリ内に平文で格納する必要があります。 - sasl/cram-MD5
-
LDAP セッションは暗号化されませんが、クライアントのパスワードは認証中に保護されます。このような廃止された認証方法は使用しないでください。
- sasl/GSSAPI
-
この認証方法は、ユーザー別の検索を有効にするためにユーザー別モードとともに使用されます。クライアントの資格情報を持つユーザー別の nscd セッションは、sasl/GSSAPI 方法およびクライアントの Kerberos 資格情報を使用して、ディレクトリサーバーへのバインドを実行します。ディレクトリサーバーでは、アクセスをユーザー別に制御できます。
- tls:simple
- tls:sasl/cram-MD5
-
sasl/cram-MD5 を使用して、LDAP セッションの暗号化およびクライアントによるディレクトリサーバーへの認証が行われます。
- tls:sasl/digest-MD5
-
sasl/digest-MD5 を使用して、LDAP セッションの暗号化およびクライアントによるディレクトリサーバーへの認証が行われます。
 | 注意 - Oracle Directory Server Enterprise Edition で digest-MD5 を使用するには、パスワードを暗号化せずに格納する必要があります。sasl/digest-MD5 または tls:sasl/digest-MD5 認証方法を使用するプロキシユーザーのパスワードは、暗号化せずに格納する必要があります。この場合、userPassword 属性が読み取り可能にならないように、適切な ACI を使用して構成します。 |
次の表に、さまざまな認証方式およびその特性の概要を示します。
|