1.7. 証明書ベースの認証の設定

手順

1. /etc/dirsrv/slapd-<instance_name>/certmap.conf ファイルを作成し、証明書から Directory Server ユーザーへ情報をマッピングします。

   certmap default         default
   default:DNComps         dc
   default:FilterComps     mail,cn
   default:VerifyCert      on
   
   certmap example         cn=Example CA
   example:DNComps

   Copy to Clipboard Toggle word wrap

   この設定では、cn=Example CA によって発行された証明書の場合、この発行者の DNComps パラメーターが空に設定されているため、Directory Server は証明書のサブジェクトからベース DN を生成しません。さらに、FilterComps と VerifyCert の設定は、デフォルトのエントリーから継承されます。

   cn=Example CA とは異なる発行者 DN を持つ証明書は、デフォルトエントリーの設定を使用し、証明書のサブジェクトの cn 属性に基づいてベース DN を生成します。これにより、ディレクトリー全体を検索せずに、Directory Server が特定の DN で検索を開始できます。

   すべての証明書について、Directory Server は、証明書のサブジェクトの mail 属性および cn 属性を使用して検索フィルターを生成します。ただし、件名に mail 属性が存在しない場合、Directory Server は自動的に証明書の e 属性の値を件名に使用します。

2. 証明書ベースの認証を有効にします。たとえば、証明書ベースの認証をオプションとして設定するには、次のように入力します。

   # dsconf <instance_name> security set --tls-client-auth="allowed"

   Copy to Clipboard Toggle word wrap

   --tls-client-auth=required オプションを使用して、証明書ベースの認証を必須として設定します。

3. オプション: 証明書ベースの認証を必須として設定した場合は、nsslapd-require-secure-binds パラメーターを有効にします。

   # dsconf <instance_name> config replace nsslapd-require-secure-binds=on

   Copy to Clipboard Toggle word wrap

   この設定により、ユーザーは暗号化されていない接続を使用して証明書ベースの認証をバイパスできなくなります。

4. オプション: Directory Server がバインド要求の認証情報の代わりに証明書の ID を使用する必要がある場合は、EXTERNAL 簡易認証およびセキュリティー層 (SASL) メカニズムを使用するように Directory Server を設定します。

   # dsconf <instance_name> config replace nsslapd-force-sasl-external=on

   Copy to Clipboard Toggle word wrap

   この設定では、Directory Server は証明書内の ID 以外のバインド方法を無視します。

5. インスタンスを再起動します。

   # dsctl <instance_name> restart

   Copy to Clipboard Toggle word wrap

手順

1. 証明書が DER 形式でない場合は、変換します。たとえば、証明書を Privacy Enhanced Mail (PEM) から DER に変換するには、次のように入力します。

   # openssl x509 -in /home/user_name/certificate.pem -out /home/user_name/certificate.der -outform DER

   Copy to Clipboard Toggle word wrap

2. ユーザーの userCertificate 属性に証明書を追加します。

   # ldapmodify -D "cn=Directory Manager" -W -H ldaps://server.example.com -x
   
   dn: uid=user_name,ou=People,dc=example,dc=com
   changetype: modify
   add: userCertificate
   userCertificate:< file:///home/user_name/example.der

   Copy to Clipboard Toggle word wrap

検証

1. 証明書ベースの認証を使用してユーザーとして認証します。

   1. CA 証明書、ユーザーキー、およびユーザー証明書の対応するパスに、以下の環境変数を設定します。

      LDAPTLS_CACERT=/home/user_name/CA.crt
      LDAPTLS_KEY=/home/user_name/user.key
      LDAPTLS_CERT=/home/user_name/user.der

      Copy to Clipboard Toggle word wrap

      または、現在のユーザーの ~/.ldaprc ファイルで TLS_CACERT、TLS_KEY、および TLS_CERT パラメーターを設定します。

   2. サーバーに接続します。

      # ldapwhoami -H ldaps://server.example.com -Y EXTERNAL
      dn: uid=example,ou=people,dc=example,dc=com

      Copy to Clipboard Toggle word wrap