検索

15.20. TLS 上のレプリケーション

download PDF
セキュリティー上の理由から、レプリケーションに関連する Directory Server は、すべてのレプリケーション操作が TLS 接続で実行されるように設定する必要があります。TLS でレプリケーションを使用するには、以下を実行します。
  • サプライヤーサーバーとコンシューマーサーバーの両方が TLS を使用するように設定します。
  • コンシューマーサーバーが、サプライヤーサーバーの証明書を サプライヤー DN として認識するように設定します。これは、簡易認証ではなく TLS クライアント認証のみを使用します。
これらの手順は、「TLS の有効化」 で説明しています。
属性の暗号化が有効な場合は、レプリケーションにセキュアな接続が必要になります。
注記
証明書ベースの認証で TLS 上で構成されたレプリケーションは、サプライヤーの証明書がサーバー証明書としてのみ動作し、TLS ハンドシェイク中にクライアントに対応していないと失敗します。証明書ベースの認証でのレプリケーションでは、リモートサーバーへの認証に Directory Server のサーバー証明書を使用します。
certutil を使用して証明書署名要求 (CSR) を生成する場合は、--nsCertType=sslClient,sslServer オプションをコマンドに渡し、必要な証明書を設定します。
サーバーが TLS を使用するように設定されている場合、Replication Agreement Wizard でレプリケーションの TLS 接続を設定します。Source および Destination は、サプライヤーとコンシューマーの間でバインドする方法を設定します。これは TLS が設定される場所です。
レプリケーションに TLS を使用する方法は 2 つあります。
  • SSL クライアント認証 を選択します
    TLS クライアント認証では、サプライヤーサーバーおよびコンシューマーサーバーは証明書を使用して相互に対して認証します。
  • Simple Authentication を選択します。
    簡易認証では、サプライヤーサーバーおよびコンシューマーサーバーはバインド DN およびパスワードを使用して相互に対して認証を行います。これは、提供される Replication Agreement Wizard テキストフィールドに指定されます。簡易認証はセキュアなチャンネルで実行されますが、証明書はありません。
    注記
    シンプルなパスワード認証(「セキュアなバインドの要求」)にセキュアなバインドが必要な場合は、セキュアな接続で行われる場合を除き、レプリケーション操作は失敗します。セキュアな接続(TLS および Start TLS 接続または SASL 認証)の使用が推奨されます。
レプリカ合意が作成されると、LDAP および LDAPS 接続が異なるポートを使用するため、接続タイプ(TLS または非 TLS)は変更できません。接続タイプを変更するには、レプリカ合意を再作成します。
また、Directory Server インスタンスが TLS 上で実行されるように設定されている場合でも、コンシューマーに一覧表示されるポートは TLS 以外のポートになります。このポート番号は、コンソールで Directory Server インスタンスを識別するためにのみ使用されます。これは、レプリケーションに使用される実際のポート番号またはプロトコルを指定しません。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.