Go to main content
Oracle® Solaris 11.3 ディレクトリサービスとネームサービスでの作業: LDAP

印刷ビューの終了

更新: 2016 年 11 月
 
 

LDAP ネームサービスの認証方法

proxy または proxy-anonymous の資格レベルをクライアントに割り当てる場合は、プロキシを認証する方法も選択する必要があります。デフォルトの認証方式は none (匿名によるアクセス) です。認証方法には、関連するトランスポートセキュリティーオプションが含まれることもあります。

この認証方法は、資格レベルと同様に、複数値にすることができます。たとえば、クライアントプロファイルで、クライアントが TLS でセキュリティー保護された simple 方法を使用してバインドを試みることを指定できます。これが成功しない場合、クライアントは sasl/digest-MD5 メソッドを使用してバインドを試みます。この場合、authenticationMethod 属性を tls:simple;sasl/digest-MD5 のように構成します。

LDAP ネームサービスは、いくつかの Simple Authentication and Security Layer (SASL) メカニズムをサポートします。これらのメカニズムを使用すると、TLS なしでセキュアなパスワードを交換できます。ただし、これらのメカニズムはデータの完全性や機密性を保証するものではありません。SASL の詳細は、RFC 4422 (http://datatracker.ietf.org/doc/rfc4422/http://datatracker.ietf.org/doc/rfc4422/) を参照してください。

LDAP は、次の認証メカニズムをサポートします。

  • none クライアントはディレクトリから認証されません。この方法は、anonymous 資格レベルと同等です。

  • simple クライアントシステムは、ユーザーのパスワードを平文で送信して、LDAP サーバーにバインドします。セッションが IPsec により保護されていないかぎり、パスワードが漏洩しやすくなります。この方法は設定が簡単で、すべてのディレクトリサーバーがサポートしています。

  • sasl/cram-MD5 – LDAP セッションは暗号化されませんが、クライアントのパスワードは認証中に保護されます。このような廃止された認証方法は使用しないでください。

  • sasl/digest-MD5 クライアントのパスワードは認証中に保護されますが、セッションは暗号化されません。digest-MD5 の主な利点は、認証中にパスワードが平文で転送されないことと、simple 認証方法よりセキュアであることです。digest-MD5 については、RFC 2831 (http://datatracker.ietf.org/doc/rfc2831/http://datatracker.ietf.org/doc/rfc2831/) を参照してください。digest-MD5cram-MD5 よりも改善されています。

    sasl/digest-MD5 を使用する場合、認証はセキュリティー保護されますがセッションは保護されません。

  • sasl/GSSAPI – この認証方法は、ユーザー別検索を有効にするためにユーザー別モードとともに使用されます。クライアントの資格情報を持つユーザー別の nscd セッションは、sasl/GSSAPI 方法およびクライアントの Kerberos 資格情報を使用して、ディレクトリサーバーへのバインドを実行します。ディレクトリサーバーでは、アクセスをユーザー別に制御できます。

  • tls:simple クライアントは simple 方法を使用してバインドし、セッションは暗号化されます。パスワードは保護されます。

  • tls:sasl/cram-MD5sasl/cram-MD5 を使用して、LDAP セッションが暗号化され、クライアントはディレクトリサーバーから認証されます。

  • tls:sasl/digest-MD5sasl/digest-MD5 を使用して、LDAP セッションが暗号化され、クライアントはディレクトリサーバーから認証されます。

Caution

注意  -  digest-MD5 を使用する場合、Oracle Directory Server Enterprise Edition ではパスワードが暗号化なしで格納される必要があります。sasl/digest-MD5 または tls:sasl/digest-MD5 認証方法を使用するプロキシユーザーのパスワードは、暗号化せずに格納する必要があります。この場合、userPassword 属性が読み取り可能にならないように、適切な ACI を使用して構成します。

次の表に、さまざまな認証方法およびその特性の概要を示します。

表 2  認証方法
方法
バインド
ネットワーク上のパスワード
Oracle Directory Server Enterprise Edition でのパスワード
セッション
none
いいえ
該当なし
該当なし
暗号化なし
simple
はい
平文
任意
暗号化なし
sasl/digest-MD5
はい
暗号化
平文
暗号化なし
sasl/cram-MD5
はい
暗号化
該当なし
暗号化なし
sasl/GSSAPI
はい
Kerberos
Kerberos
暗号化
tls:simple
はい
暗号化
任意
暗号化
tls:sasl/cram-MD5
はい
暗号化
該当なし
暗号化
tls:sasl/digest-MD5
はい
暗号化
平文
暗号化

LDAP 内の特定のサービスの認証方法の指定

serviceAuthenticationMethod 属性によって、特定のサービスに対応した認証方法が決まります。この属性がサービスに設定されていない場合は、authenticationMethod 属性の値が使用されます。

同様に、enableShadowUpdate スイッチが true に設定されているときは、serviceAuthenticationMethod 属性が構成されていない場合は ldap_cachemgr デーモンは authenticationMethod 属性の値を使用します。このデーモンは、none 認証方法を使用しません。

次のサービスに対応した認証方法を選択できます。

  • passwd-cmd ‐ ログインパスワードおよびパスワード属性を変更するために、passwd コマンドを有効にします。詳細は、passwd(1) のマニュアルページを参照してください。

  • keyserv – ユーザーの Diffie-Hellman 鍵ペアを作成および変更するために chkey および newkey ユーティリティーを有効にします。詳細は、chkey(1) および newkey(1M) のマニュアルページを参照してください。

  • pam_ldappam_ldap サービスを使用するユーザーの認証を有効にします。pam_ldap サービスはアカウント管理をサポートします。

注 -  ユーザー別モードでは、認証サービスとして Kerberos サービスモジュールが使用され、ServiceAuthenticationMethod は必要ありません。

次に示す例は、クライアントプロファイルの 1 セクションです。ここで、ユーザーはディレクトリサーバーへの認証に sasl/digest-MD5 を使用しますが、パスワードの変更には SSL セッションを使用します。

serviceAuthenticationMethod=pam_ldap:sasl/digest-MD5
serviceAuthenticationMethod=passwd-cmd:tls:simple
Copyright © 2002, 2016, Oracle and/or its affiliates. All rights reserved.  
前へ
次へ