Red Hat Training

A Red Hat training course is available for Red Hat Directory Server

9.9. サーバー接続のセキュリティー保護

特定されたユーザーの認証スキームと、ディレクトリー内の情報を保護するアクセス制御スキームの設計後に、サーバーアプリケーションとクライアントアプリケーション間で渡される情報の整合性を保護する手段を設計します。
Directory Server は、クライアント接続とサーバーへの接続の両方に対応するため、さまざまなセキュアな接続タイプがサポートされます。
  • Transport Layer Security (TLS)
    ネットワーク上でセキュアな通信を提供するには、Directory Server は Transport Layer Security(TLS)で LDAP を使用できます。
    TLS は、RSA から暗号化アルゴリズムと併用できます。特定の接続に選択する暗号化方法は、クライアントアプリケーションと Directory Server 間のネゴシエーションの結果になります。
  • Start TLS
    Directory Server は、通常の暗号化されていない LDAP ポートで TLS(Transport Layer Security)接続を開始する方法もサポートしています。
  • Simple Authentication and Security Layer (SASL)
    SASL はセキュリティーフレームワークで、クライアントとサーバーアプリケーションで有効になっているメカニズムに応じて、異なるメカニズムをサーバーに対して認証できるようにするシステムを設定するものです。クライアントとサーバーとの間に暗号化されたセッションを確立することもできます。Directory Server では、SASL を GSS-API とともに使用して Kerberos ログインを有効にし、レプリケーション、チェーン化、およびパススルー認証など、サーバー接続にほぼすべてのサーバーに使用できます。(SASL を Windows 同期と使用できません。)
セキュアな接続は、レプリケーションなどの機密情報を処理する操作や、Windows パスワードの同期などの操作に必要な操作に推奨されます。Directory Server は、TLS 接続、SASL、およびセキュアでない接続を同時にサポートできます。
SASL 認証と TLS 接続の両方を同時に設定できます。たとえば、Directory Server インスタンスは、サーバーへの TLS 接続を要求するように設定でき、レプリケーション接続の SASL 認証もサポートします。つまり、ネットワーク環境で TLS または SASL のどちらを使用するかを選択する必要はありません。両方を使用できます。
また、サーバーへの接続の最小レベルのセキュリティーを設定することもできます。セキュリティーの強度は、セキュアな接続の強度で強いています。特定の操作(パスワードの変更など)が必要な ACI を設定できます。これは、接続が特定の強度以上のものである場合に限り発生します。最小 SSF を設定することもできます。これは基本的に標準接続を無効にし、すべての接続に TLS、Start TLS、または SASL を必要とします。Directory Server は TLS および SASL を同時にサポートし、サーバーは利用可能なすべての接続タイプの SSF を算出し、最も強いものを選択します。
TLS、Start TLS、および SASL の使用に関する詳細は、『『Administration Guide』』を参照してください。