10.3. 属性暗号化の設定

コマンドラインまたは Web コンソールを使用して、特定の属性の属性暗号化を有効または無効にします。

10.3.1. コマンドラインを使用した属性の暗号化の有効化

(たとえば、AES で暗号化した userRoot データベースの telephoneNumber 属性を) Directory Server が保存するように設定するには、以下を行います。
  1. オプションで、既存の telephoneNumber 属性を暗号化するには、データベースをエクスポートします。「暗号化したデータベースのエクスポート」を参照してください。
  2. userRoot データベースの telephoneNumber 属性の AES 暗号化を有効にします。
    # dsconf -D "cn=Directory Manager" ldap://server.example.com backend attr-encrypt --add-attr telephoneNumber userRoot
  3. 既存の属性を暗号化するためにデータベースをエクスポートした場合は、データベースを再インポートします。「暗号化されたデータベースへの LDIF ファイルのインポート」を参照してください。

10.3.2. Web コンソールを使用した属性の暗号化の有効化

(たとえば、AES で暗号化したデータベースの telephoneNumber 属性を) Directory Server が保存するように設定するには、以下を行います。
  1. オプションで、既存の telephoneNumber 属性を暗号化するには、データベースをエクスポートします。「暗号化したデータベースのエクスポート」を参照してください。
  2. Web コンソールで Directory Server ユーザーインターフェイスを開きます。「Web コンソールを使用した Directory Server へのログイン」を参照してください。
  3. インスタンスを選択します。
  4. Database メニューを開きます。
  5. 接尾辞エントリーを選択します。
  6. Encrypted Attributes タブを開きます。
  7. 暗号化する属性の名前を入力します。
  8. Add Attribute をクリックします。
  9. 既存の属性を暗号化するためにデータベースをエクスポートした場合は、データベースを再インポートします。「暗号化されたデータベースへの LDIF ファイルのインポート」を参照してください。

10.3.3. コマンドラインを使用した属性の暗号化の無効化

Directory Server が保存しなくなった属性 (たとえば、userRoot データベースに暗号化された telephoneNumber 属性) を設定するには、以下を実行します。
  1. 必要に応じて、既存の telephoneNumber 属性を複号するには、データベースをエクスポートします。「暗号化したデータベースのエクスポート」を参照してください。
  2. userRoot データベースの telephoneNumber 属性の暗号化を無効にします。
    # dsconf -D "cn=Directory Manager" ldap://server.example.com backend attr-encrypt --del-attr telephoneNumber userRoot
  3. 既存の属性を復号するためにデータベースをエクスポートした場合は、データベースを再インポートします。「暗号化されたデータベースへの LDIF ファイルのインポート」を参照してください。

10.3.4. Web コンソールを使用した属性の暗号化の無効化

(たとえば、AES で暗号化したデータベースの telephoneNumber 属性を) Directory Server が保存するように設定するには、以下を行います。
  1. オプションで、既存の telephoneNumber 属性を暗号化するには、データベースをエクスポートします。「暗号化したデータベースのエクスポート」を参照してください。
  2. Web コンソールで Directory Server ユーザーインターフェイスを開きます。「Web コンソールを使用した Directory Server へのログイン」を参照してください。
  3. インスタンスを選択します。
  4. Database メニューを開きます。
  5. 接尾辞エントリーを選択します。
  6. Encrypted Attributes タブを開きます。
  7. telephoneNumber 属性の右側にある Delete Attribute ボタンをクリックします。
  8. Yes をクリックして確定します。
  9. 既存の属性を復号するためにデータベースをエクスポートした場合は、データベースを再インポートします。「暗号化されたデータベースへの LDIF ファイルのインポート」を参照してください。

10.3.5. 属性暗号化の有効化後の一般的な考慮事項

データベースにすでにあるデータの暗号化を有効にしている場合は、以下を実行します。
  • 暗号化されていないデータは、サーバーのデータベースページプールのバッキングファイルで保持できます。このデータを削除するには、以下を実行します。
    1. インスタンスを停止します。
      # dsctl instance_name stop
    2. /var/lib/dirsrv/slapd-instance_name/db/guardian ファイルを削除します。
      # rm /var/lib/dirsrv/slapd-instance_name/db/guardian
    3. インスタンスを起動します。
      # dsctl instance_name start
  • 暗号化を有効にし、データが正常にインポートされた後に、暗号化されていないデータで LDIF ファイルを削除します。
  • 暗号化を有効にしたら、データの再インポート時に Directory Server は新しいデータベースを削除し、作成します。
  • レプリケーションログファイルは暗号化されません。このデータを保護するには、暗号化されたディスクに保存します。
  • サーバーのメモリー (RAM) のデータは暗号化されず、swap パーティションに一時的に保存できます。このデータを保護するには、暗号化された swap 領域を設定します。
重要
暗号化されていないデータを含むファイルを削除すると、このデータは特定の状況で復元できます。