第3章 暗号化接続に必要な LDAPS または STARTTLS
ネットワーク経由で暗号化されていないパスワードを送信するのを防ぐために、サーバーへの接続時に LDAPS または STARTTLS 暗号化を使用できるように Directory Server を設定できます。
3.1. コマンドラインで Directory Server が LDAPS または STARTTLS で暗号化した接続のみを受け入れるように設定
デフォルトでは、Directory Server はバインド DN と暗号化されていない接続を介したパスワードを使用した認証を許可します。これはセキュリティーリスクです。証明書ベースの認証や SASL などの別のセキュアなメカニズムを使用できないとします。この場合は、TLS または STARTTLS を使用してサーバーに対して認証する際に暗号化された接続を要求するように Directory Server を設定できます。
注記
バインド操作のセキュアな接続を必要とするのは、認証されたバインドにのみ適用されます。匿名および認証されていないバインドなどのパスワードのないバインド操作は、標準の接続で続行できます。
前提条件
- レプリカ合意などの既存のサーバー間の接続がセキュアなバインドを使用するように設定している。
手順
nsslapd-require-secure-binds
設定パラメーターをon
に設定します。# dsconf -D "cn=Directory Manager" ldap://server.example.com config replace nsslapd-require-secure-binds=on
オプション: LDAPS を使用する場合は、プレーンテキストの LDAP ポートを無効にします。
# dsconf -D "cn=Directory Manager" ldap://server.example.com security disable_plain_port
インスタンスを再起動します。
# dsctl instance_name restart
重要
この機能を有効にすると、すべての接続に必要です。たとえば、これには、レプリカ合意、同期、データベースのチェーンが含まれます。
関連情報