-
Language:
日本語
-
Language:
日本語
Red Hat Training
A Red Hat training course is available for Red Hat Directory Server
15.20. TLS 上のレプリケーション
セキュリティー上の理由から、レプリケーションに関連する Directory Server は、すべてのレプリケーション操作が TLS 接続で実行されるように設定する必要があります。TLS でレプリケーションを使用するには、以下を実行します。
- サプライヤーサーバーとコンシューマーサーバーの両方が TLS を使用するように設定します。
- コンシューマーサーバーが、サプライヤーサーバーの証明書を サプライヤー DN として認識するように設定します。これは、簡易認証ではなく TLS クライアント認証のみを使用します。
これらの手順は、「TLS の有効化」 で説明しています。
属性の暗号化が有効な場合は、レプリケーションにセキュアな接続が必要になります。
注記
証明書ベースの認証で TLS 上で構成されたレプリケーションは、サプライヤーの証明書がサーバー証明書としてのみ動作し、TLS ハンドシェイク中にクライアントに対応していないと失敗します。証明書ベースの認証でのレプリケーションでは、リモートサーバーへの認証に Directory Server のサーバー証明書を使用します。
certutil を使用して証明書署名要求 (CSR) を生成する場合は、--nsCertType=sslClient,sslServer オプションをコマンドに渡し、必要な証明書を設定します。
サーバーが TLS を使用するように設定されている場合、Replication Agreement Wizard でレプリケーションの TLS 接続を設定します。Source および Destination は、サプライヤーとコンシューマーの間でバインドする方法を設定します。これは TLS が設定される場所です。
レプリケーションに TLS を使用する方法は 2 つあります。
- SSL クライアント認証 を選択します。TLS クライアント認証では、サプライヤーサーバーおよびコンシューマーサーバーは証明書を使用して相互に対して認証します。
- Simple Authentication を選択します。簡易認証では、サプライヤーサーバーおよびコンシューマーサーバーはバインド DN およびパスワードを使用して相互に対して認証を行います。これは、提供される Replication Agreement Wizard テキストフィールドに指定されます。簡易認証はセキュアなチャンネルで実行されますが、証明書はありません。注記シンプルなパスワード認証(「セキュアなバインドの要求」)にセキュアなバインドが必要な場合は、セキュアな接続で行われる場合を除き、レプリケーション操作は失敗します。セキュアな接続(TLS および Start TLS 接続または SASL 認証)の使用が推奨されます。
レプリカ合意が作成されると、LDAP および LDAPS 接続が異なるポートを使用するため、接続タイプ(TLS または非 TLS)は変更できません。接続タイプを変更するには、レプリカ合意を再作成します。
また、Directory Server インスタンスが TLS 上で実行されるように設定されている場合でも、コンシューマーに一覧表示されるポートは TLS 以外のポートになります。このポート番号は、コンソールで Directory Server インスタンスを識別するためにのみ使用されます。これは、レプリケーションに使用される実際のポート番号またはプロトコルを指定しません。
