21.2. コマンドラインを使用して属性暗号化を有効にする

この手順では、コマンドラインを使用して userRoot データベースの telephoneNumber 属性の属性暗号化を有効にする方法を示します。この手順を実行すると、サーバーはこの属性の既存の値と新しい値を AES 暗号化して格納します。

前提条件

  • Directory Server で TLS 暗号化を有効にした。

手順

  1. userRoot データベースをエクスポートします。

    # dsconf -D "cn=Directory Manager" ldap://server.example.com backend export -E userRoot

    サーバーは、エクスポートを /var/lib/dirsrv/slapd-instance_name/ldif/ ディレクトリーの LDIF ファイルに保存します。-E オプションは、エクスポート中にすでに暗号化されている属性を復号化します。

  2. telephoneNumber 属性の AES 暗号化を有効にします。

    # dsconf -D "cn=Directory Manager" ldap://server.example.com backend attr-encrypt --add-attr telephoneNumber dc=example,dc=com
  3. インスタンスを停止します。

    # dsctl instance_name stop
  4. LDIF ファイルをインポートします。

    # dsctl instance_name ldif2db --encrypted userRoot /var/lib/dirsrv/slapd-instance_name/ldif/None-userroot-2022_01_24_10_28_27.ldif

    --encrypted パラメーターを使用すると、スクリプトで属性を暗号化して、インポート中に暗号化を設定できます。

  5. インスタンスを起動します。

    # dsctl instance_name start