第8章 設定ファイルの参照

設定する Directory Server 機能は、ディレクトリーの cn=config エントリーにあります。ただし、特定の機能では、Directory Server は設定ファイルから設定を読み取ります。本章では、これらのファイルとその設定について説明します。

8.1. certmap.conf

証明書ベースの認証を設定する場合は、/etc/dirsrv/slapd-instance_name/certmap.conf ファイルで、Directory Server が証明書をユーザーエントリーに動的にマッピングする方法を管理します。

/etc/dirsrv/slapd-instance_name/certmap.conf ファイルは以下の形式を使用します。

certmap alias_name            certificate_issuer_DN
alias_name:parameter_name     value

異なる証明書発行者識別名(DN)の個別の設定を指定できます。別の設定のない発行者 DN の場合、デフォルトのエントリー の設定が使用されます。以下は、デフォルトエントリーに必要な最小設定です

certmap default     default

また、デフォルトエントリーで利用可能なパラメーターをすべて設定できます Directory Server は、発行者 DN の個別の設定で指定されていない場合に使用します。

例8.1 デフォルトのエントリーおよび特定の 発行者 DN の設定

以下の設定は、o =Example Inc.,c=US 発行者 DN セットを持つ証明書の個々の設定を行います。その他の証明書は、デフォルトエントリーの設定を使用します

certmap default         default
default:DNComps         dc
default:FilterComps     mail, cn
default:VerifyCert      on

certmap example         o=Example Inc.,c=US
example:DNComps

以下のパラメーターを設定できます。

DNComps

DNComps パラメーターは、ディレクトリーでユーザーを検索する際に Directory Server がベース DN を生成する方法を決定します。

  • 証明書の subject フィールドの属性がベース DN と一致する場合は、DN Comps パラメーターをこれらの属性に設定します。複数の属性をコンマで区切ります。ただし、DNComps パラメーターの属性の順序は、証明書の発行順序と一致する必要があります。

    たとえば、証明書サブジェクトが e=user_name@example.com,cn=user_name,o=Example Inc.,c=US である場合は、Directory Server に cn=user_name,o=Example Inc.,c=US を使用できるようにします。ユーザー検索時に DNComps パラメーターを cn, o, c に設定します。

    重要

    DNComps パラメーターで設定される属性の値は、データベースで一意でなければなりません。

  • ベース DN を証明書の subject フィールドから生成できない場合は、パラメーターを空の値に設定します。この場合、Directory Server は FilterComps パラメーターの設定から生成されたフィルターを使用して、ディレクトリー全体のユーザーを検索します。

    たとえば、証明書のサブジェクトが e=user_name@example.com,cn=user_name,o=Example Inc.,c =US である場合、Directory Server はそのデータを dc=example,dc=com エントリーに保存すると、Directory Server は証明書のサブジェクトから有効なベース DN を生成できます。この場合、ディレクトリー内のユーザーを検索するには、DNComps を空の文字列に設定します。

  • 証明書の subject フィールドが Directory Server のユーザーの DN に完全一致する場合や、C mapLdapAttr パラメーターの設定を使用する場合は、このパラメーターをコメントアウトまたは設定しないでください。

    または、cn =config エントリーの nsslapd-certmap-basedn パラメーターを設定し、ハードコーディングされたベース DN を使用します。

FilterComps

このパラメーターは、ユーザーを見つけるために検索フィルターを生成するために使用する証明書 Directory Server の subject フィールドの属性を設定します。

  • このパラメーターを、証明書のサブジェクトで使用する属性のコンマ区切りリストに設定します。Directory Server は、フィルター内の AND 操作でこれらの属性を使用します。

    注記

    証明書のサブジェクトは、デフォルトの Directory Server スキーマに存在しないメールアドレスの e 属性を使用します。このため、Directory Server はこの属性を mail 属性に自動的にマッピングします。つまり、FilterComps パラメーターで mail 属性を使用すると、Directory Server は証明書の発行先から e 属性の値を読み取ります。

    たとえば、証明書の件名が e=user_name@example.com,cn=user_name,dc=example,dc=com,o=Example Inc.,c=US で、動的に生成する (&(mail=username@domain)(cn=user_name)) フィルターを設定するには、FilterComps パラメーターを mail,cn に設定します。

  • パラメーターがコメントアウトされるか、または空の値に設定すると、(objectclass=*) フィルターが使用されます。
verifycert

Directory Server は、証明書が信頼できる認証局(CA)によって発行されたかどうかを確認します。ただし、verifycert パラメーターを on に設定すると、Directory Server は、証明書が、ユーザーの userCertificate バイナリー属性に保存されている Distinguished Encoding Rules(DER)形式の証明書と一致することを検証します。

このパラメーターを設定しない場合は、verifycert が無効になります。

CmapLdapAttr
ユーザーエントリーにユーザー証明書のサブジェクト DN を格納する属性が含まれる場合は、C mapLdapAttr をこの属性名に設定します。Directory Server はこの属性とサブジェクト DN を使用してユーザーを見つけます。この場合、FilterComps パラメーターの属性に基づいてフィルターが生成されません。
library
共有ライブラリーまたは動的リンクライブラリー(DLL)ファイルにパス名を設定します。この設定は、証明書 API を使用して独自のプロパティーを作成する場合にのみ使用します。このパラメーターは非推奨となっており、今後のリリースで削除されます。
InitFn
カスタムライブラリーを使用する場合は、init 関数の名前 を設定します。この設定は、証明書 API を使用して独自のプロパティーを作成する場合にのみ使用します。このパラメーターは非推奨となっており、今後のリリースで削除されます。
重要

Directory Server が一致するユーザーを検索すると、検索は必ず 1 つのエントリーを返す必要があります。検索で複数のエントリーが返されると、Directory Server は複数の一致するエラーをログに記録し、認証に失敗します。

詳細は、『Directory Server 管理ガイド』の該当するセクションを参照してください。