Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

4.10. 連鎖ポリシーの設定

Directory Server は、クライアントアプリケーションからデータベースリンクを含む Directory Server にリクエストをチェーンするように設定できます。チェーンポリシーは、Directory Server で作成されたすべてのデータベースリンクに適用されます。

4.10.1. コンポーネントの動作の連鎖
リンクのコピー

コンポーネント は、フロントエンドのプラグインや関数など、内部操作を使用するサーバー内の機能単位です。

一部のコンポーネントは、ローカルデータのみにアクセスできることを想定し、内部 LDAP 要求をサーバーに送信します。このようなコンポーネントの場合、コンポーネントがそこでの操作を正常に完了できるように、チェーンポリシーを制御する必要があります。(例: 証明書の検証機能など)。この関数によって作成された LDAP リクエストを連鎖させて、リモートサーバーが信頼されていることを示す証明書を確認できます。リモートサーバーが信頼されていない場合は、セキュリティーの問題があります。

デフォルトでは、すべての内部操作とコンポーネントを連鎖できませんが、デフォルトのオーバーライドは可能です。

さらに、指定したプラグインがリモートサーバー上で操作を実行できるようにするには、リモートサーバー上に ACI を作成する必要があります。ACI は、データベースリンクに割り当てられた 接尾辞 に存在している必要があります。

以下は、コンポーネント名、これらのコンポーネントに内部操作の連鎖を許可した場合に発生しえる副次的な影響、およびリモートサーバー上の ACI でコンポーネントが必要とするパーミッションです。

  • ACI プラグイン コンポーネント

    ACI プラグイン コンポーネントはアクセス制御を実装します。ローカル属性とリモート属性を混在させるのは安全ではないため、ACI 属性の取得と更新に使用する操作を連鎖させることはできません。ただし、次の連鎖コンポーネント属性を設定して、ユーザーエントリーの取得に使用されるリクエストを連鎖できます。 

    nsActiveChainingComponents: cn=ACI Plugin,cn=plugins,cn=config
    Copy to Clipboard Toggle word wrap

    パーミッション: 読み取り、検索、および比較

  • resource limit コンポーネント

    resource limits コンポーネントは、ユーザーバインド DN に応じてサーバー制限を設定します。リソース制限コンポーネントをチェーンする場合は、リモートユーザーにリソース制限を適用できます。リソース制限コンポーネント操作を連鎖させるには、以下の連鎖コンポーネント属性を追加します。 

    nsActiveChainingComponents: cn=resource limits,cn=components,cn=config
    Copy to Clipboard Toggle word wrap

    パーミッション: 読み取り、検索、および比較

  • certificate-based authentication コンポーネント

    外部バインドメソッドでは、certificate-based authentication コンポーネントを使用できます。このコンポーネントは、リモートサーバーのデータベースからユーザー証明書を取得します。このコンポーネントの連鎖を許可すると、証明書ベースの認証がデータベースリンクで機能するようになります。このコンポーネントの操作を連鎖させるには、以下の連鎖コンポーネント属性を追加します。 

    nsActiveChainingComponents: cn=certificate-based authentication,cn=components,cn=config
    Copy to Clipboard Toggle word wrap

    パーミッション: 読み取り、検索、および比較

  • password policy コンポーネント

    password policy コンポーネントは、リモートサーバーに SASL バインドを追加します。一部の形式の SASL 認証には、ユーザー名とパスワードでの認証が不可欠です。パスワードポリシーを有効にすると、サーバーは要求された特定の認証方法を検証および実装し、適切なパスワードポリシーを適用できます。このコンポーネントの動作を連鎖させるには、連鎖コンポーネント属性を追加します。 

    nsActiveChainingComponents: cn=password policy,cn=components,cn=config
    Copy to Clipboard Toggle word wrap

    パーミッション: 読み取り、検索、および比較

  • SASL コンポーネント

    SASL コンポーネントは、SASL がリモートサーバーにバインドできるようにします。このコンポーネントの動作を連鎖させるには、連鎖コンポーネント属性を追加します。 

    nsActiveChainingComponents: cn=password policy,cn=components,cn=config
    Copy to Clipboard Toggle word wrap

    パーミッション: 読み取り、検索、および比較

  • referential integrity postoperation コンポーネント

    referential integrity postoperation コンポーネントは、DN を含む属性の更新を、属性へのポインターが含まれるエントリーに伝播します。たとえば、グループが削除されると、グループからエントリーを自動的に削除できます。referential integrity postoperation プラグインをチェーンとともに使用すると、グループメンバーが静的グループ定義にリモートな場合に静的グループの管理が簡素化されます。 

    nsActiveChainingComponents: cn=referential integrity postoperation,cn=plugins,cn=config
    Copy to Clipboard Toggle word wrap

    パーミッション: 読み取り、検索、および比較

  • attribute Uniqueness コンポーネント

    attribute Uniqueness コンポーネントは、指定された属性のすべての値が一意であることを検証します。プラグインを連鎖すると、データベースリンクを通じて属性が変更された場合でも、属性値が一意であることが確認されます。このコンポーネントの動作を連鎖させるには、連鎖コンポーネント属性を追加します。 

    nsActiveChainingComponents: cn=attribute uniqueness,cn=plugins,cn=config
    Copy to Clipboard Toggle word wrap

    パーミッション: 読み取り、検索、および比較

  • roles コンポーネント

    roles コンポーネントは、データベースのエントリーのロールおよびロール割り当てを連鎖させます。このコンポーネントを連鎖すると、連鎖されたデータベースでもロールを維持します。このコンポーネントの動作を連鎖させるには、連鎖コンポーネント属性を追加します。 

    nsActiveChainingComponents: cn=roles,cn=components,cn=config
    Copy to Clipboard Toggle word wrap

    パーミッション: 読み取り、検索、および比較

注記

Roles プラグイン、Password policy コンポーネント、Replication プラグイン、および Referential Integrity プラグインコンポーネントをチェーンすることはできません。チェーン要求を発行するサーバーで Referential Integrity プラグインを有効にする場合は、パフォーマンス、リソース、時間、および整合性のニーズを分析していることを確認します。整合性チェックは時間がかかり、メモリーと CPU を浪費する可能性があります。

4.10.2. コマンドラインを使用したコンポーネント操作の連鎖
リンクのコピー

コマンドラインを使用して、チェーンを許可するコンポーネントを追加できます。

手順

  1. チェーンに追加するコンポーネントを指定します。 

    # dsconf <instance_name> chaining config-set \ --add-comp="cn=referential integrity postoperation,cn=components,cn=config"
    Copy to Clipboard Toggle word wrap

  2. インスタンスを再起動します。 

    # dsctl <instance_name> restart
    Copy to Clipboard Toggle word wrap

  3. 操作を連鎖させるリモートサーバーの接尾辞に ACI を作成します。 

    # ldapmodify -D "cn=Directory Manager" -W -H 389 remoteserver.example.com -x
 dn: ou=People,dc=example,dc=com
 changetype: modify
 add: aci
 aci: (targetattr = "*")(target="ldap:///ou=customers,ou=People,dc=example,dc=com")
 (version 3.0; acl "RefInt Access for chaining"; allow
 (read,write,search,compare) userdn = "ldap:///cn=referential
 integrity postoperation,cn=plugins,cn=config";)
    Copy to Clipboard Toggle word wrap

検証

  • 連鎖が許可されているコンポーネントを表示します。 

    # dsconf <instance_name> chaining config-set \ --add-comp="cn=referential integrity postoperation,cn=components,cn=config"
    Copy to Clipboard Toggle word wrap

4.10.3. Web コンソールを使用したコンポーネントの操作の連鎖
リンクのコピー

Web コンソールを使用して、連鎖を許可するコンポーネントを追加できます。

前提条件

  • Web コンソールで Directory Server ユーザーインターフェイスを開き、インスタンスを選択している。

手順

  1. Database メニューを開きます。
  2. 左側のナビゲーションで、Chaining Configuration エントリーを選択します。
  3. Chain フィールドにあるコンポーネントの下の Add ボタンをクリックします。
  4. 連鎖するコンポーネントを選択し、Add & Save New Components をクリックします。

  5. 操作を連鎖させるリモートサーバーの接尾辞に ACI を作成します。 

    # ldapmodify -D "cn=Directory Manager" -W -H 389 remoteserver.example.com -x
 dn: ou=People,dc=example,dc=com
 changetype: modify
 add: aci
 aci: (targetattr = "*")(target="ldap:///ou=customers,ou=People,dc=example,dc=com")
 (version 3.0; acl "RefInt Access for chaining"; allow
 (read,write,search,compare) userdn = "ldap:///cn=referential
 integrity postoperation,cn=plugins,cn=config";)
    Copy to Clipboard Toggle word wrap

検証

  • 選択したコンポーネントは、連鎖させる必要があります。
トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat