9.3. バインドメカニズム
次のいずれかの方法で、ローカルサーバーをリモートサーバーに接続できます。
-
標準の
LDAP
ポートを使用する。 -
専用の
LDAPS
ポートを使用する。 -
STARTTLS
接続を使用します。これは、標準ポートよりも安全な接続です。
単純なパスワード認証に安全なバインドが必要な場合は、チェーン操作を実行するときに安全な接続 (TLS
および STARTTLS
接続、または SASL
認証) を使用することを推奨します。
ローカルサーバーは、次の方法を使用してリモートサーバーに対する認証を行うことができます。
`EMPTY`
EMPTY
メソッドを使用する場合に、ローカルサーバーは単純な認証を実行し、バインドメカニズムが設定されていない場合はバインド DN とパスワードを必要とします。EXTERNAL
EXTERNAL
メソッドを使用する場合、ローカルサーバーは TLS 証明書を適用して、ローカルサーバーをリモートサーバーに対して認証します。ローカルサーバー URL を安全な URL (ldaps
) に設定するか、nsUseStartTLS
属性をon
に設定する必要があることに注意してください。さらに、ローカルサーバーの証明書をバインド ID にマップするようにリモートサーバーを設定する必要があります。DIGEST-MD5
DIGEST-MD5
メソッドを使用する場合は、ローカルサーバーはDIGEST-MD5
暗号化を使用したSASL
認証を適用します。単純な認証と同様に、このタイプの認証では、バインド情報を提供するためにnsMultiplexorBindDN
属性とnsMultiplexorCredentials
属性が必要です。GSSAPI
GSSAPI
メソッドを使用する場合、ローカルサーバーはSASL
認証を介してKerberos ベース
の認証を適用します。Kerberos
キータブを使用してローカルサーバーを設定できます。リモートサーバーは、ローカルサーバーのバインド ID に対して定義済みのSASL
マッピングを設定する必要があります。
SASL
接続は、標準の接続または TLS
接続で確立できます。SASL
の使用時に SASL
およびパスワードポリシーコンポーネントをチェーンするようにローカルサーバーを設定できます。