第20章 Directory Manager アカウントにアクセス制御を設定する
未制約の管理ユーザーがあると、メンテナンスパースペクティブからは妥当になります。Directory Manager では、メンテナンスタスクを実行し、インシデントへの対応に高いレベルのアクセスが必要です。
ただし、Directory Manager ユーザーの権限により、管理ユーザーとして実行される攻撃による被害を防ぐために、一定レベルのアクセス制御を行うことを推奨します。
20.1. Directory Manager アカウントのアクセス制御
Directory Server は、通常のアクセス制御命令をディレクトリーツリーだけに適用します。Directory Manager アカウントの権限はハードコーディングされており、バインドルールでこのアカウントを使用することはできません。Directory Manager アカウントへのアクセスを制限するには、RootDN Access Control
プラグインを使用します。
このプラグインの機能は、標準のアクセス制御命令 (ACI) とは異なります。たとえば、ターゲット (Directory Manager エントリー) や許可されたアクセス許可 (それらすべて) などの特定の情報が暗示されます。RootDN Access Control
プラグインの目的は、場所または時間に基づいてディレクトリーマネージャーとしてログインできるユーザーを制限することにより、セキュリティーレベルを提供することであり、このユーザーができることを制限することではありません。
このため、プラグインの設定は以下のみをサポートします。
- 特定の日および特定の時間範囲でアクセスを許可または拒否する時間ベースのアクセス制御
- 定義された IP アドレス、サブネット、およびドメインからのアクセスを許可または拒否するための IP アドレス規則
- 特定のホスト、ドメイン、およびサブドメインからのアクセスを許可または拒否するホストアクセスルール
Directory Manager に設定できるアクセス制御規則は 1 つだけです。これはプラグインエントリーにあり、ディレクトリー全体に適用されます。
通常の ACI と同様に、拒否ルールは許可ルールよりも優先度が高くなります。
Directory Manager アカウントに適切なレベルのアクセス権があることを確認してください。この管理ユーザーは、時間外に保守操作を実行したり、障害に対応したりする必要がある場合があります。この場合、制限が厳しすぎる時間または曜日のルールを設定すると、Directory Manager ユーザーがディレクトリーを適切に管理できなくなる可能性があります。