9.9. サーバー接続の保護
識別されたユーザーの認証スキームと、ディレクトリー内の情報を保護するためのアクセス制御スキームを設計したら、次のステップは、サーバーとクライアントアプリケーションの間を通過する情報の整合性を保護する方法を設計することです。
サーバーからクライアントへの接続とサーバーからサーバーへの接続の両方について、Directory Server はさまざまなセキュアな接続タイプをサポートしています。
- Transport Layer Security (TLS)ネットワーク上で安全な通信を提供するために、Directory Server は Transport Layer Security (TLS) で LDAP を使用できます。TLS は、RSA の暗号化アルゴリズムと組み合わせて使用できます。特定の接続に対して選択される暗号化方式は、クライアントアプリケーションと Directory Server 間のネゴシエーションの結果です。
- Start TLSDirectory Server は、通常の暗号化されていない LDAP ポートを介して Transport Layer Security (TLS) 接続を開始する方法である Start TLS もサポートしています。
- Simple Authentication and Security Layer (SASL)SASL はセキュリティーフレームワークです。つまり、クライアントアプリケーションとサーバーアプリケーションの両方で有効になっているメカニズムに応じて、サーバーに対してユーザーを認証するさまざまなメカニズムを許可するシステムをセットアップします。また、クライアントとサーバー間で暗号化されたセッションを確立することもできます。Directory Server では、SASL を GSS-API とともに使用して Kerberos ログインを有効にし、レプリケーション、連鎖、パススルー認証など、ほぼすべてのサーバー間接続に使用できます。(SASL は Windows Sync では使用できません。)
レプリケーションなどの機密情報を処理する操作には安全な接続が推奨され、Windows パスワード Synchronization などの一部の操作では必要になります。Directory Server は、TLS 接続、SASL、および非セキュア接続を同時にサポートできます。
SASL 認証と TLS 接続の両方を同時に設定できます。たとえば、Directory Server インスタンスは、サーバーへの TLS 接続を要求し、レプリケーション接続の SASL 認証もサポートするように設定できます。これは、ネットワーク環境で TLS または SASL のどちらを使用するかを選択する必要がないことを意味します。両方を使用できます。
サーバーへの接続の最小レベルのセキュリティーを設定することもできます。セキュリティー強度係数 は、キーの強度で、安全な接続の強度を測定します。特定の操作 (パスワードの変更など) を必要とする ACI は、接続が特定の強度以上の場合にのみ発生するように設定できます。最小限の SSF を設定することもできます。これにより、基本的に標準接続が無効になり、接続ごとに TLS、Start TLS、または SASL が必要になります。Directory Server は TLS と SASL を同時にサポートし、サーバーは利用可能なすべての接続タイプの SSF を計算し、最も強力なものを選択します。
TLS、Start TLS、および SASL の使用に関する詳細は、『Administration Guide』を参照してください。
