E.2.7.3. 管理サーバーのパスワードファイルの作成
通常、TLS が有効になっている場合、管理サーバーが再起動されると、サーバーはセキュリティーパスワードを要求します。
Starting dirsrv-admin: Please enter password for "internal" token:
管理サーバーは、TLS が有効な場合にパスワードファイルを使用できます。これにより、セキュリティーパスワードを要求せずにサーバーが警告なしで再起動されます。
警告
このパスワードはパスワードファイル内にクリアテキストに保存されるため、その使用は重大なセキュリティーリスクを表します。サーバーがセキュアでない環境で実行している場合は、パスワードファイルを使用しないでください。
- 以下の内容で
/etc/dirsrv/admin-serv/password.conf
ファイルを作成します。- FIPS(Federal Information Processing Standard)モードが無効になっているシステムの場合:
internal:password
- FIPS モードが有効になっているシステムの場合は、次のコマンドを実行します。
internal:password NSS FIPS 140-2 Certificate DB:password
このファイルの行は、token_name:password の形式を使用します。NSS ソフトウェア暗号モジュール(デフォルトのソフトウェアデータベース)では、トークンは常にinternal
と呼ばれます。FIPS モードを有効にすると、証明書データベースの追加トークンはNSS FIPS 140-2 Certificate DB
と呼ばれます。 - 他のユーザー(mode
0400
)にはアクセスなく、管理サーバーユーザーがパスワードファイルを所有し、admin Server ユーザーで読み取り専用に設定する必要があります。注記Administration Server ユーザー ID を確認するには、Administration Server 設定ディレクトリーでgrep
を実行します。# grep "^User" /etc/dirsrv/admin-serv/console.conf User dirsrv
パーミッションを設定するには、以下を入力します。# chown dirsrv:root /etc/dirsrv/admin-serv/password.conf # chmod 0400 /etc/dirsrv/admin-serv/password.conf
/etc/dirsrv/admin-serv/nss.conf
ファイルを編集し、新しいパスワードファイルの場所を参照します。# Pass Phrase Dialog: # Configure the pass phrase gathering process. # The filtering dialog program (`builtin' is a internal # terminal dialog) has to provide the pass phrase on stdout. NSSPassPhraseDialog file://etc/dirsrv/admin-serv/password.conf
- 管理サーバーを再起動します。
# systemctl restart dirsrv-admin.service
TLS を有効にした後、管理サーバーは HTTPS を使用してのみ接続できます。Administration Server およびそのサービスへ接続するための以前の HTTP(標準)URL はすべて機能しなくなります。これは、コンソールを使用して管理サーバーに接続するか、または Web ブラウザーを使用する場合でも当てはまります。