第1章 Directory Server への TLS 暗号化接続の有効化
デフォルトでは、Red Hat Directory Server は暗号化なしで LDAP サービスを提供します。セキュリティーを改善するには、Directory Server で TLS を設定して、レプリケーション環境内のクライアントや他のホストを有効にして、暗号化された接続を使用できます。これらのユーザーは、ポート 389 で STARTTLS
コマンドを使用し、またはセキュアな接続にポート 636 で LDAPS プロトコルを使用できます。
バインド識別名 (DN) およびパスワード、または証明書ベースの認証を使用して、簡易認証で TLS を使用できます。
Directory Server の暗号化サービスは、Mozilla Network Security Services (NSS) (TLS およびベース暗号化機能のライブラリー) によって提供されます。NSS には、連邦情報処理標準 (FIPS) 140-2 認定であるソフトウェアベースの暗号化トークンが含まれています。
1.1. Directory Server への暗号化接続のさまざまなオプション
暗号化された接続を使用して Directory Server に接続するには、以下のプロトコルとフレームワークを使用できます。
- LDAPS
-
LDAPS プロトコルを使用すると、接続は暗号化を使用して開始し、成功または失敗します。ただし、暗号化されていないデータはネットワーク経由で送信されません。このため、暗号化されていない LDAP で
STARTTLS
を使用する代わりに、LDAPS の使用が推奨されます。 - LDAP 上の STARTTLS
クライアントは LDAP プロトコルで暗号化されていない接続を確立し、
STARTTLS
コマンドを送信します。コマンドに成功すると、それ以降の通信はすべて暗号化されます。警告STARTTLS
コマンドが失敗し、クライアントが接続をキャンセルしないと、認証情報を含むすべてのデータが暗号化されずにネットワーク上に送信されます。- SASL
- Simple Authentication and Security Layer (SASL) フレームワークを使用すると、Kerberos などの外部認証方法を使用してユーザーを認証できます。