Red Hat Training

A Red Hat training course is available for Red Hat Directory Server

第8章 設定ファイルのリファレンス

設定するほとんどの Directory Server 機能は、ディレクトリーの cn=config エントリーにあります。ただし、特定の機能では、Directory Server は設定ファイルから設定を読み取ります。本章では、これらのファイルとその設定について説明します。

8.1. certmap.conf

証明書ベースの認証を設定すると、/etc/dirsrv/slapd-instance_name/certmap.conf ファイルは、Directory Server が証明書をユーザーエントリーに動的にマッピングする方法を管理します。
/etc/dirsrv/slapd-instance_name/certmap.conf ファイルは以下の形式を使用します。
certmap alias_name            certificate_issuer_DN
alias_name:parameter_name     value
異なる証明書発行者識別名(DN)に個別の設定を指定できます。別の設定を持たない発行者 DN については、デフォルトエントリーの設定 が使用されます。以下は、デフォルトエントリーに必要な最小設定です
certmap default     default
さらに、デフォルトエントリーで利用可能なすべてのパラメーターを設定できます Directory Server は、発行者 DN 用に個別の設定で指定されていない場合に使用します。

例8.1 デフォルトのエントリーおよび特定の 発行者 DN の設定

以下の設定は、o =Example Inc.,c=US 発行者 DN が設定されている証明書の個別の設定を行います。他の証明書は、デフォルトエントリーの設定を使用します
certmap default         default
default:DNComps         dc
default:FilterComps     mail, cn
default:VerifyCert      on

certmap example         o=Example Inc.,c=US
example:DNComps
以下のパラメーターを設定できます。
DNComps
DNComps パラメーターは、ディレクトリー内のユーザーを検索するために使用されるベース DN を生成する方法を決定します。
  • 証明書の subject フィールドの属性がベース DN と一致する場合は、DNComps パラメーターをこれらの属性に設定します。複数の属性はコンマで区切ります。ただし、DNComps パラメーターの属性の順序は、証明書の件名の順序と一致する必要があります。
    たとえば、証明書のサブジェクトが e=user_name@example.com,cn=user_name,o=Example Inc.,c=US で、Directory Server で cn=user_name,o=Example Inc.,c=US をベース DN として使用する場合は、DNComps パラメーターを cn, o, c に設定します。
    重要
    DNComps パラメーターに設定した属性の値は、データベースで一意である必要があります。
  • 証明書の subject フィールドからベース DN を生成できない場合は、パラメーターを空の値に設定します。このような場合、FilterComps パラメーターの設定から生成されたフィルターを使用して、Directory Server はディレクトリー全体でユーザーを検索します。
    たとえば、証明書のサブジェクトが e=user_name@example.com,cn=user_name,o=Example Inc.,c=US の場合、Directory Server はそのデータを dc=example,dc=com エントリーに保存する場合、Directory Server は証明書のサブジェクトから有効なベース DN を生成できません。この場合は、DNComps を空の文字列に設定し、ディレクトリー全体でユーザーを検索します。
  • 証明書の subject フィールドのいずれかが Directory Server のユーザーの DN に完全に一致する場合や、CmapLdapAttr パラメーターからの設定を使用する場合は、このパラメーターをコメントアウトするか、設定しないでください。
あるいは、cn=config エントリーの nsslapd-certmap-basedn パラメーターを、ハードコーディングされたベース DN を使用するように設定します。
FilterComps
このパラメーターは、証明書 Directory Server の subject フィールドで、ユーザーの検索フィルターの生成に使用する属性を設定します。
  • このパラメーターを、証明書のサブジェクトで使用される属性のカンマ区切りリストに設定します。Directory Server は、フィルター内の AND 操作でこれらの属性を使用します。
    注記
    証明書サブジェクトは、デフォルトの Directory Server スキーマに存在しないメールアドレスに e 属性を使用します。このため、Directory Server はこの属性を mail 属性に自動的にマッピングします。つまり、mail パラメーターで FilterComps 属性を使用すると、Directory Server は、証明書のサブジェクトから e 属性の値を読み取ります。
    たとえば、証明書の件名が e=user_name@example.com,cn=user_name,dc=example,dc=com,o=Example Inc.,c=US の場合には 、(&(mail=username@domain)(cn=user_name)) フィルターを動的に生成する場合は、FilterComps パラメーターを mail,cn に設定します。
  • パラメーターがコメントアウトされるか、または空の値に設定されている場合 (objectclass=*) フィルターが使用されます。
verifycert
Directory Server は、証明書が信頼できる認証局(CA)が発行されているかどうかを常に確認します。ただし、verifycert パラメーターを on に設定すると、Directory Server は、ユーザーの userCertificate バイナリー属性に保存されている Distinguished Encoding Rules(DER)形式の証明書と一致することを検証します。
このパラメーターを設定しないと、verifycert は無効になります。
CmapLdapAttr
ユーザーエントリーに、ユーザー証明書のサブジェクト DN を保存する属性が含まれている場合は、CmapLdapAttr をこの属性名に設定します。Directory Server はこの属性とサブジェクト DN を使用してユーザーを見つけます。この場合、FilterComps パラメーターの属性に基づいてフィルターが生成されません。
library
共有ライブラリーまたは Dynamic Link Library(DLL)ファイルにパス名を設定します。この設定は、証明書 API を使用して独自のプロパティーを作成する場合にのみ使用します。このパラメーターは非推奨となっており、今後のリリースで削除されます。
InitFn
カスタムライブラリーを使用する場合は、init 関数の名前 を設定します。この設定は、証明書 API を使用して独自のプロパティーを作成する場合にのみ使用します。このパラメーターは非推奨となっており、今後のリリースで削除されます。
重要
Directory Server が一致するユーザーを検索する場合は、検索でエントリーを 1 つだけ返す必要があります。検索で複数のエントリーが返されると、Directory Server は複数の一致するエラーをログに記録し、認証に失敗します。