-
Language:
日本語
-
Language:
日本語
Red Hat Training
A Red Hat training course is available for Red Hat Directory Server
第8章 設定ファイルのリファレンス
設定するほとんどの Directory Server 機能は、ディレクトリーの cn=config エントリーにあります。ただし、特定の機能では、Directory Server は設定ファイルから設定を読み取ります。本章では、これらのファイルとその設定について説明します。
8.1. certmap.conf
証明書ベースの認証を設定すると、
/etc/dirsrv/slapd-instance_name/certmap.conf
ファイルは、Directory Server が証明書をユーザーエントリーに動的にマッピングする方法を管理します。
/etc/dirsrv/slapd-instance_name/certmap.conf
ファイルは以下の形式を使用します。
certmap alias_name certificate_issuer_DN alias_name:parameter_name value
異なる証明書発行者識別名(DN)に個別の設定を指定できます。別の設定を持たない発行者 DN については、デフォルトエントリーの設定 が使用されます。以下は、デフォルトエントリーに必要な最小設定です 。
certmap default default
さらに、デフォルトエントリーで利用可能なすべてのパラメーターを設定できます 。Directory Server は、発行者 DN 用に個別の設定で指定されていない場合に使用します。
例8.1 デフォルトのエントリーおよび特定の 発行者 DN の設定
以下の設定は、o =Example Inc.,c=US 発行者 DN が設定されている証明書の個別の設定を行います。他の証明書は、デフォルトエントリーの設定を使用します 。
certmap default default default:DNComps dc default:FilterComps mail, cn default:VerifyCert on certmap example o=Example Inc.,c=US example:DNComps
以下のパラメーターを設定できます。
- DNComps
DNComps
パラメーターは、ディレクトリー内のユーザーを検索するために使用されるベース DN を生成する方法を決定します。- 証明書の
subject
フィールドの属性がベース DN と一致する場合は、DNComps
パラメーターをこれらの属性に設定します。複数の属性はコンマで区切ります。ただし、DNComps
パラメーターの属性の順序は、証明書の件名の順序と一致する必要があります。たとえば、証明書のサブジェクトが e=user_name@example.com,cn=user_name,o=Example Inc.,c=US で、Directory Server で cn=user_name,o=Example Inc.,c=US をベース DN として使用する場合は、DNComps
パラメーターを cn, o, c に設定します。重要DNComps
パラメーターに設定した属性の値は、データベースで一意である必要があります。 - 証明書の
subject
フィールドからベース DN を生成できない場合は、パラメーターを空の値に設定します。このような場合、FilterComps
パラメーターの設定から生成されたフィルターを使用して、Directory Server はディレクトリー全体でユーザーを検索します。たとえば、証明書のサブジェクトが e=user_name@example.com,cn=user_name,o=Example Inc.,c=US の場合、Directory Server はそのデータを dc=example,dc=com エントリーに保存する場合、Directory Server は証明書のサブジェクトから有効なベース DN を生成できません。この場合は、DNComps
を空の文字列に設定し、ディレクトリー全体でユーザーを検索します。 - 証明書の
subject
フィールドのいずれかが Directory Server のユーザーの DN に完全に一致する場合や、CmapLdapAttr
パラメーターからの設定を使用する場合は、このパラメーターをコメントアウトするか、設定しないでください。
あるいは、cn=config エントリーのnsslapd-certmap-basedn
パラメーターを、ハードコーディングされたベース DN を使用するように設定します。- FilterComps
- このパラメーターは、証明書 Directory Server の subject フィールドで、ユーザーの検索フィルターの生成に使用する属性を設定します。
- このパラメーターを、証明書のサブジェクトで使用される属性のカンマ区切りリストに設定します。Directory Server は、フィルター内の AND 操作でこれらの属性を使用します。注記証明書サブジェクトは、デフォルトの Directory Server スキーマに存在しないメールアドレスに
e
属性を使用します。このため、Directory Server はこの属性をmail
属性に自動的にマッピングします。つまり、mail
パラメーターでFilterComps
属性を使用すると、Directory Server は、証明書のサブジェクトからe
属性の値を読み取ります。たとえば、証明書の件名が e=user_name@example.com,cn=user_name,dc=example,dc=com,o=Example Inc.,c=US の場合には 、(&(mail=username@domain)(cn=user_name)) フィルターを動的に生成する場合は、FilterComps
パラメーターを mail,cn に設定します。 - パラメーターがコメントアウトされるか、または空の値に設定されている場合 (objectclass=*) フィルターが使用されます。
- verifycert
- Directory Server は、証明書が信頼できる認証局(CA)が発行されているかどうかを常に確認します。ただし、
verifycert
パラメーターを on に設定すると、Directory Server は、ユーザーのuserCertificate
バイナリー属性に保存されている Distinguished Encoding Rules(DER)形式の証明書と一致することを検証します。このパラメーターを設定しないと、verifycert
は無効になります。 - CmapLdapAttr
- ユーザーエントリーに、ユーザー証明書のサブジェクト DN を保存する属性が含まれている場合は、
CmapLdapAttr
をこの属性名に設定します。Directory Server はこの属性とサブジェクト DN を使用してユーザーを見つけます。この場合、FilterComps
パラメーターの属性に基づいてフィルターが生成されません。 - library
- 共有ライブラリーまたは Dynamic Link Library(DLL)ファイルにパス名を設定します。この設定は、証明書 API を使用して独自のプロパティーを作成する場合にのみ使用します。このパラメーターは非推奨となっており、今後のリリースで削除されます。
- InitFn
- カスタムライブラリーを使用する場合は、init 関数の名前 を設定します。この設定は、証明書 API を使用して独自のプロパティーを作成する場合にのみ使用します。このパラメーターは非推奨となっており、今後のリリースで削除されます。
重要
Directory Server が一致するユーザーを検索する場合は、検索でエントリーを 1 つだけ返す必要があります。検索で複数のエントリーが返されると、Directory Server は複数の一致するエラーをログに記録し、認証に失敗します。