18.17.2. RootDN アクセス制御プラグインの設定
ルート DN アクセス制御ルールはデフォルトで無効になっています。rootDN アクセス制御プラグインを有効にし、次に適切なアクセス制御ルールを設定できます。
注記
Directory Manager には 1 つのアクセス制御ルールがあり、プラグインエントリーには、ディレクトリー全体のすべてのアクセスに適用されます。
nsslapd-pluginEnabled属性を on に設定して、RootDN アクセス制御プラグインを有効にします。以下に例を示します。# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x dn: cn=RootDN Access Control Plug-in,cn=plugins,cn=config changetype: modify replace: nsslapd-pluginEnabled nsslapd-pluginEnabled: on
- アクセス制御命令にバインドルールを設定します。
rootdn-open-time時間ベースのアクセス制御の場合はrootdn-close-timeです。rootdn-days-allowed日ベースのアクセス制御の場合rootdn-allow-hostホストベースのアクセス制御用のrootdn-deny-host、rootdn-allow-ip、およびrootdn-deny-ip。これらはすべて多値の属性です。拒否ルールは、許可ルールよりも優先されます。たとえば、rootdn-allow-host属性が *.example.com に設定され、rootdn-deny-host属性が *.front-office.example.com に設定されている場合、front-office.example.com サブドメインにあるものはすべて、大規模な example.com ドメインが許可されていても Directory Manager としてログインできなくなります。ワイルドカードは、IP 範囲またはフルドメインを許可するために使用できます。
以下に例を示します。# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x dn: cn=RootDN Access Control Plug-in,cn=plugins,cn=config changetype: modify add: rootdn-open-time rootdn-open-time: 0600 - add: rootdn-close-time rootdn-close-time: 2100 - add: rootdn-allow-host rootdn-allow-host: *.example.com - add: rootdn-deny-host rootdn-allow-host: *.remote.example.com
- Directory Server を再起動して、新しいプラグイン設定を読み込みます。
# systemctl restart dirsrv@instance
