サポートコンソール開発者トライアルの開始お問い合わせ

10.3. 属性暗号化の設定

コマンドラインまたは Web コンソールを使用して、特定の属性の属性暗号化を有効または無効にします。

10.3.1. コマンドラインを使用した属性の暗号化の有効化

(たとえば、AES で暗号化した userRoot データベースの telephoneNumber 属性を) Directory Server が保存するように設定するには、以下を行います。
  1. オプションで、既存の telephoneNumber 属性を暗号化するには、データベースをエクスポートします。「暗号化したデータベースのエクスポート」を参照してください。
  2. userRoot データベースの telephoneNumber 属性の AES 暗号化を有効にします。 
    # dsconf -D "cn=Directory Manager" ldap://server.example.com backend attr-encrypt --add-attr telephoneNumber userRoot
  3. 既存の属性を暗号化するためにデータベースをエクスポートした場合は、データベースを再インポートします。「暗号化されたデータベースへの LDIF ファイルのインポート」を参照してください。

10.3.2. Web コンソールを使用した属性の暗号化の有効化

(たとえば、AES で暗号化したデータベースの telephoneNumber 属性を) Directory Server が保存するように設定するには、以下を行います。
  1. オプションで、既存の telephoneNumber 属性を暗号化するには、データベースをエクスポートします。「暗号化したデータベースのエクスポート」を参照してください。
  2. Web コンソールで Directory Server ユーザーインターフェイスを開きます。「Web コンソールを使用した Directory Server へのログイン」を参照してください。
  3. インスタンスを選択します。
  4. Database メニューを開きます。
  5. 接尾辞エントリーを選択します。
  6. Encrypted Attributes タブを開きます。
  7. 暗号化する属性の名前を入力します。
  8. Add Attribute をクリックします。
  9. 既存の属性を暗号化するためにデータベースをエクスポートした場合は、データベースを再インポートします。「暗号化されたデータベースへの LDIF ファイルのインポート」を参照してください。

10.3.3. コマンドラインを使用した属性の暗号化の無効化

Directory Server が保存しなくなった属性 (たとえば、userRoot データベースに暗号化された telephoneNumber 属性) を設定するには、以下を実行します。
  1. 必要に応じて、既存の telephoneNumber 属性を複号するには、データベースをエクスポートします。「暗号化したデータベースのエクスポート」を参照してください。
  2. userRoot データベースの telephoneNumber 属性の暗号化を無効にします。 
    # dsconf -D "cn=Directory Manager" ldap://server.example.com backend attr-encrypt --del-attr telephoneNumber userRoot
  3. 既存の属性を復号するためにデータベースをエクスポートした場合は、データベースを再インポートします。「暗号化されたデータベースへの LDIF ファイルのインポート」を参照してください。

10.3.4. Web コンソールを使用した属性の暗号化の無効化

(たとえば、AES で暗号化したデータベースの telephoneNumber 属性を) Directory Server が保存するように設定するには、以下を行います。
  1. オプションで、既存の telephoneNumber 属性を暗号化するには、データベースをエクスポートします。「暗号化したデータベースのエクスポート」を参照してください。
  2. Web コンソールで Directory Server ユーザーインターフェイスを開きます。「Web コンソールを使用した Directory Server へのログイン」を参照してください。
  3. インスタンスを選択します。
  4. Database メニューを開きます。
  5. 接尾辞エントリーを選択します。
  6. Encrypted Attributes タブを開きます。
  7. telephoneNumber 属性の右側にある Delete Attribute ボタンをクリックします。
  8. Yes をクリックして確定します。
  9. 既存の属性を復号するためにデータベースをエクスポートした場合は、データベースを再インポートします。「暗号化されたデータベースへの LDIF ファイルのインポート」を参照してください。

10.3.5. 属性暗号化の有効化後の一般的な考慮事項

データベースにすでにあるデータの暗号化を有効にしている場合は、以下を実行します。
  • 暗号化されていないデータは、サーバーのデータベースページプールのバッキングファイルで保持できます。このデータを削除するには、以下を実行します。
    1. インスタンスを停止します。 
      # dsctl instance_name stop
    2. /var/lib/dirsrv/slapd-instance_name/db/guardian ファイルを削除します。 
      # rm /var/lib/dirsrv/slapd-instance_name/db/guardian
    3. インスタンスを起動します。 
      # dsctl instance_name start
  • 暗号化を有効にし、データが正常にインポートされた後に、暗号化されていないデータで LDIF ファイルを削除します。
  • 暗号化を有効にしたら、データの再インポート時に Directory Server は新しいデータベースを削除し、作成します。
  • レプリケーションログファイルは暗号化されません。このデータを保護するには、暗号化されたディスクに保存します。
  • サーバーのメモリー (RAM) のデータは暗号化されず、swap パーティションに一時的に保存できます。このデータを保護するには、暗号化された swap 領域を設定します。
重要
暗号化されていないデータを含むファイルを削除すると、このデータは特定の状況で復元できます。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.