15.13. Changelog 暗号化の設定

セキュリティーを強化するために、Directory Server は changelog の暗号化をサポートします。本セクションでは、この機能を有効にする方法を説明します。

前提条件

サーバーに、ネットワークセキュリティーサービス (NSS) データベースに証明書およびキーを保存する必要があります。したがって、「Directory Server での TLS の有効化」 で説明されているように、サーバーで TLS 暗号化を有効にします。

手順

changelog 暗号化を有効にするには、以下を実行します。
  1. changelog 暗号化を有効にするサーバーを除き、以下のコマンドを入力してレプリケーショントポロジー内のすべてのインスタンスを停止します。
    # dsctl instance_name stop
  2. changelog 暗号化を有効にするサーバーで、以下を実行します。
    1. changelog(例: /tmp/changelog.ldif ファイル) をエクスポートします。
      # dsconf -D "cn=Directory Manager" ldap://server.example.com replication dump-changelog -o /tmp/changelog.ldif
    2. インスタンスを停止します。
      # dsctl instance_name stop
    3. /etc/dirsrv/slapd-instance_name/dse.ldif ファイルの dn: cn=changelog5,cn=config エントリーに、以下の設定を追加します。
      nsslapd-encryptionalgorithm: AES
    4. インスタンスを起動します。
      # dsctl instance_name start
    5. /tmp/changelog.ldif ファイルから changelog をインポートします。
      # dsconf -D "cn=Directory Manager" ldap://server.example.com replication restore-changelog from-ldif /tmp/changelog.ldif
  3. 以下のコマンドを実行して、レプリケーショントポロジー内の他のサーバー上のインスタンスをすべて起動します。
    # dsctl instance_name start

検証

changelo が暗号化されていることを確認するには、暗号化された changelo を使用して、サーバー上で以下の手順を実行します。
  1. エントリーの更新など、LDAP ディレクトリーに変更を加えます。
  2. インスタンスを停止します。
    # dsctl stop instance_name
  3. 以下のコマンドを実行して、changelog の一部を表示します。
    # dbscan -f /var/lib/dirsrv/slapd-instance_name/changelogdb/replica_name_replGen.db | tail -50
    changelog が暗号化されている場合は、暗号化されたデータのみが表示されます。
  4. インスタンスを起動します。
    # dsctl start instance_name

関連情報