15.14. Changelog 暗号化の設定
セキュリティーを強化するために、Directory Server は changelog の暗号化をサポートします。本セクションでは、この機能を有効にする方法を説明します。
前提条件
サーバーに、ネットワークセキュリティーサービス (NSS) データベースに証明書およびキーを保存する必要があります。したがって、「Directory Server での TLS の有効化」の説明に従ってサーバーで TLS 暗号化を有効にします。
Procedure
changelog 暗号化を有効にするには、以下を実行します。
- changelog 暗号化を有効にするサーバーを除き、以下のコマンドを入力してレプリケーショントポロジー内のすべてのインスタンスを停止します。
# systemctl stop dirsrv@instance_name
- changelog 暗号化を有効にするサーバーで、以下を実行します。
- changelog をエクスポートするタスクを作成します。
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x dn: cn=replica,cn=suffix,cn=mapping tree,cn=config changetype: modify add: nsds5Task nsds5Task: CL2LDIF
Directory Server は、エクスポートを/var/lib/dirsrv/slapd-instance_name/changelogdb/ディレクトリーに保存します。 - インスタンスを停止します。
# systemctl stop dirsrv@instance_name
/etc/dirsrv/slapd-instance_name/dse.ldifファイルの dn: cn=changelog5,cn=config エントリーに、以下の設定を追加します。nsslapd-encryptionalgorithm: AES
- インスタンスを起動します。
# systemctl start dirsrv@instance_name
- changelog をインポートするタスクを作成します。
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x dn: cn=replica,cn=suffix,cn=mapping tree,cn=config changetype: modify add: nsds5Task nsds5Task: LDIF2CL
- 以下のコマンドを実行して、レプリケーショントポロジー内の他のサーバー上のインスタンスをすべて起動します。
# systemctl start dirsrv@instance_name
検証
changelo が暗号化されていることを確認するには、暗号化された changelo を使用して、サーバー上で以下の手順を実行します。
- エントリーの更新など、LDAP ディレクトリーに変更を加えます。
- インスタンスを停止します。
# systemctl stop dirsrv@instance_name
- 以下のコマンドを実行して、changelog の一部を表示します。
# dbscan -f /var/lib/dirsrv/slapd-instance_name/changelogdb/replica_name_replGen.db | tail -50
changelog が暗号化されている場合は、暗号化されたデータのみが表示されます。 - インスタンスを起動します。
# systemctl start dirsrv@instance_name
