Red Hat Training

A Red Hat training course is available for Red Hat Directory Server

9.10. SASL での Kerberos GSS-API の使用

Directory Server が SASL 認証に GSS-API メカニズムを使用するには、Kerberos v5 をホストにデプロイする必要があります。Kerberos サービスを活用するには、GSS-API および Kerberos クライアントライブラリーを Directory Server ホストにインストールする必要があります。

9.10.1. Directory Server の SASL の認証メカニズム

Directory Server は、以下の SASL 暗号化メカニズムをサポートします。
  • PLAIN PLAIN は、簡単なパスワードベースの認証用にクリアテキストのパスワードを送信します。
  • EXTERNAL TLS を使用する EXTERNAL は、証明書ベースの認証を実行します。この方法では、強力な認証に公開鍵を使用します。
  • CRAM-MD5 CRAM-MD5 は弱く、単純な challenge-response 認証メソッドです。セキュリティー層を確立しません。
    警告
    Red Hat では、セキュアでない CRAM-MD5 メカニズムを使用することは推奨されません。
  • DIGEST-MD5 DIGEST-MD5 は LDAPv3 サーバーの弱い認証方法です。
    警告
    Red Hat では、セキュアでない DIGGEST-MD5 メカニズムを使用することは推奨されません。
  • Generic Security Services (GSS-API). 汎用セキュリティーサービス (GSS) は、UNIX ベースのオペレーティングシステムが Kerberos サービスにアクセスして認証するためのネイティブな方法であるセキュリティー API です。GSS-API は TLS と同様にセッション暗号化もサポートします。これにより、Kerberos バージョン 5 の認証情報 (チケット) を使用して LDAP クライアントがサーバーで認証でき、ネットワークセッションの暗号化を使用できます。
    Directory Server が GSS-API を使用するには、Kerberos をホストマシンに設定する必要があります。「SASL での Kerberos GSS-API の使用」を参照してください。
    注記
    GSS-API および Kerberos は GSS-API サポートのあるプラットフォームでのみサポートされます。GSS-API を使用するには、Kerberos クライアントライブラリーをインストールする必要があります。必要な Kerberos ライブラリーはすべてオペレーティングシステムベンダーから利用できます。