第6章 setpin (エンティティーの一意の PIN の生成)
Certificate System が UidPwdPinDirAuth 認証プラグインモジュールを使用するには、認証ディレクトリーに、証明書を発行する各エンドエンティティーの一意の PIN が含まれている必要があります。Certificate System は、LDAP ディレクトリーにエンドエンティティーエントリーの一意の PIN を生成するツール( PIN Generator )を提供します。このツールは、これらの PIN をハッシュ化された値として、対応するユーザーエントリーに対して同じディレクトリーに保存します。また、PIN をテキストファイルにコピーし、PIN をエンドエンティティーに送信できるようにします。
6.1. setpin コマンド
本章では、setpin ツールの構文および引数と予想される応答について説明します。
6.1.1. setpin.conf 設定ファイルの編集
setpin ツールは、設定ファイル
setpin.conf を使用して、必要なオプションの一部を保存できます。setpin を実行する前に、このファイルを変更してディレクトリー情報を反映し、以下のコマンドを実行して setpin ツールがこのファイルを使用するように設定します。
setpin.confファイルを開きます。cd /usr/lib/pki/native-tools vi setpin.conf
- ディレクトリーのインストール情報に一致するように、ファイルのディレクトリーパラメーターを編集します。
#------- Enter the hostname of the LDAP server host=localhost #------- Enter the port number of the LDAP server port=389 #------- Enter the DN of the Directory Manager user binddn=CN=Directory Manager #------- Enter the password for the Directory manager user bindpw= # Enter the DN and password for the new pin manager user pinmanager=cn=pinmanager,dc=example,dc=com pinmanagerpwd= # Enter the base over which this user has the power # to remove pins basedn=ou=people,dc=example,dc=com ## This line switches setpin into setup mode. ## Please do not change it. setup=yes
- setpin を実行し、オプションファイルを
setpin.confに設定します。setpin optfile=/usr/lib/pki/native-tools/setpin.conf
6.1.2. Syntax
setpin の構文は以下のとおりです。
setpin
host=host_name
[
port=port_number
]
binddn=user_id
[
bindpw=bind_password
]
filter="LDAP_search_filter"
[
basedn=LDAP_base_DN
] [[
length=PIN_length
] | [
minlength=minimum_PIN_length
] | [
maxlength=maximum_PIN_length
]] [
gen=character_type
] [
case=upperonly
] [
hash=algorithm
] [
saltattribute=LDAP_attribute_to_use_for_salt_creation
] [
input=file_name
] [
output=file_name
] [
write
] [
clobber
] [
testpingen=count
] [
debug
] [
optfile=file_name
] [
setup
[
pinmanager=pinmanager_user
]
[
pinmanagerpwd=pinmanager_password
]
]
| オプション | 説明 |
|---|---|
| ホスト | 必須。接続する LDAP ディレクトリーを指定します。DNS とネットワークの設定方法に応じて、マシン名、完全修飾ドメイン名、または IPv4 アドレスまたは IPv6 アドレスを使用できます。 |
| port | バインドする LDAP ディレクトリーポートを指定します。デフォルトのポート番号はデフォルトの LDAP ポート 389 です。 |
| binddn | 必須。PIN Generator が LDAP ディレクトリーにバインドするユーザーを指定します。このユーザーアカウントには、ディレクトリーへの読み取り/書き込みアクセスが必要です。 |
| bindpw | binddn オプションに設定されたユーザー ID のパスワードを指定します。コマンドラインでバインドパスワードが指定されていない場合、ツールはこれを要求します。 |
| filter | 必須。ツールが PIN を生成するディレクトリー内の DN の検索フィルターを設定します。 |
| basedn | DN を検索するベース DN を指定します。この引数を指定しないと、フィルターはルートから検索します。 |
| 長さ | PIN に含める必要のある正確な番号を指定します。デフォルトは 6 です。minlength または maxlength では を使用しないでください。 |
| minlength | 生成される PIN の最小長を設定します。maxlength と併用すると、PIN 長さの範囲の下限が設定されます。長さ で を使用しないでください。 |
| maxlength | 生成される PIN の最大長を設定します。minlength と併用すると、PIN 長さの範囲の上限が設定されます。長さ で を使用しないでください。 |
| Gen | PIN の文字タイプを指定します。パスワードの 文字は、アルファベット文字(RNG-alpha)、英数字(RNG-alphanum)、または任意の印刷可能な ASCII 文字(printableascii)から作成できます。 |
| ケース | キャラクターケースを大文字のみに制限します。それ以外の場合は、大文字と小文字が混在しています。アルファベット文字を大文字に制限すると、パスワード領域の全体的な組み合わせが大幅に削減されます。gen の ユースケース。 |
| ハッシュ |
認証ディレクトリーに保存する前に PIN をハッシュ化するメッセージダイジェストアルゴリズムを指定します。
注記
Directory Server は、受信ハッシュ化されたパスワードに制限がある可能性があるため、これを none (ハッシュ化されない)に設定する必要があります。
デフォルトは sha1 で、160 ビットのメッセージダイジェストを生成します。md5 は 128 ビットのメッセージダイジェストを生成します。none は PIN をハッシュしません。
|
| saltattribute | ソルトの作成に使用する LDAP 属性を指定します。これは dn に設定する必要があります。属性が設定されている場合、ツールは属性の値を各 PIN に統合し、生成される文字列をハッシュルーチンでハッシュします。詳細は、「PIN がディレクトリーに保存される方法」 を参照してください。
hash の値が none に設定されている場合、この属性は無視されます。これが推奨される設定です。
|
| 入力 (input) | 処理する DN の一覧を含むファイルを指定します。これを使用すると、ツールはフィルターされた DN を入力ファイル内の DN と比較して、それらの DN のみに PIN を生成します。 |
| 出力 (output) | setpin が PIN を生成するため、PIN を書き込むファイルへの絶対パスを指定します。ファイルが設定されていない場合、出力は標準出力に書き込まれます。出力ファイルが設定されているかどうかにかかわらず、すべてのエラーメッセージが標準エラーに転送されます。 |
| write | ツールが PIN をディレクトリーに書き込むかどうかを設定します。指定した場合、PIN は生成されるとディレクトリーに書き込まれます。それ以外の場合は、ツールはディレクトリーに変更を加えません。PIN をチェックする場合は、ディレクトリーに PIN を書き込まないでください。PIN は出力ファイルで表示して、正しいユーザーに割り当てられていること、および長さと文字の制限に準拠していることを確認できます。詳細は、「Output File」 を参照してください。 |
| clobber | DN に関連付けられている既存の PIN (存在する場合)を上書きします。このオプションを使用しない場合、既存の PIN はディレクトリーに残ります。 |
| testpingen | PIN 生成モードをテストします。count は、テスト用に生成する PIN の総数を設定します。 |
| debug | 標準エラーにデバッグ情報を書き込みます。debug=attrs を指定すると、ツールはディレクトリー内の各エントリーに関する詳細情報を書き込みます。 |
| optfile | ファイルからオプションを読み取るためのツールを設定します(行ごとに 1 つずつ)。これにより、コマンドラインで引数を入力せずに、すべての引数をファイルに配置できます。1 つの設定ファイル setpin.conf は、/usr/lib/pki/native-tools ディレクトリーにあります。 |
| setup | 設定モードに切り替えます。これにより、ツールがディレクトリースキーマに追加できるようになります。 |
| pinmanager | basedn で指定した PIN を削除するパーミッションを持つ PIN マネージャーユーザーを指定します。設定 オプションで使用されます。 |
| pinmanagerpwd | PIN マネージャーユーザーのパスワードを指定します。設定 オプションで使用されます。 |
6.1.3. 使用方法
まず、
setpin.conf ファイルを参照する optfile オプションを指定して setpin コマンドを実行します。
setpin optfile=/usr/lib/pki/native-tools/setpin.conf
このツールは、新しい属性 (デフォルトでは pin) および新しいオブジェクトクラス (デフォルトは pinPerson) でスキーマを変更し、pinmanager ユーザーを作成し、ACI を設定して、pinmanager ユーザーのみが pin 属性を編集できるようにします。
次に、setpin コマンドのセットアップモードを無効にします。setup 行をコメントアウトするか、値を no に変更します。
vim /usr/lib/pki/native-tools/setpin.conf setup=no
設定が完了したら、setpin を使用して PIN を生成できます。
以下のコマンドは、csldap という名前の LDAP ディレクトリーの識別名に CN 属性を持つすべてのエントリーの PIN を生成します。ポート 389 でリッスンします。PIN Generator は、Directory Manager としてディレクトリーにバインドされ、ディレクトリーツリーのベース DN dn=dc=example,dc=com からディレクトリーの検索を開始します。既存の PIN は新しい PIN で上書きされます。
setpin host=csldap port=389 binddn="CN=directory manager" bindpw=password filter="(cn=*)" basedn="dc=example,dc=com" clobber write hash=none
