Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

1.13. Directory Manager アカウントにアクセス制御を設定する

未制約の管理ユーザーがあると、メンテナンスパースペクティブからは妥当になります。Directory Manager では、メンテナンスタスクを実行し、インシデントへの対応に高いレベルのアクセスが必要です。

ただし、Directory Manager ユーザーの権限により、管理ユーザーとして実行される攻撃による被害を防ぐために、一定レベルのアクセス制御を行うことを推奨します。

1.13.1. Directory Manager アカウントのアクセス制御
リンクのコピー

Directory Server は、通常のアクセス制御命令をディレクトリーツリーだけに適用します。Directory Manager アカウントの権限はハードコーディングされており、バインドルールでこのアカウントを使用することはできません。Directory Manager アカウントへのアクセスを制限するには、RootDN Access Control プラグインを使用します。

このプラグインの機能は、標準のアクセス制御命令 (ACI) とは異なります。たとえば、ターゲット (Directory Manager エントリー) や許可されたアクセス許可 (それらすべて) などの特定の情報が暗示されます。RootDN Access Control プラグインの目的は、場所または時間に基づいてディレクトリーマネージャーとしてログインできるユーザーを制限することにより、セキュリティーレベルを提供することであり、このユーザーができることを制限することではありません。

このため、プラグインの設定は以下のみをサポートします。

  • 特定の日および特定の時間範囲でアクセスを許可または拒否する時間ベースのアクセス制御
  • 定義された IP アドレス、サブネット、およびドメインからのアクセスを許可または拒否するための IP アドレス規則
  • 特定のホスト、ドメイン、およびサブドメインからのアクセスを許可または拒否するホストアクセスルール

Directory Manager に設定できるアクセス制御規則は 1 つだけです。これはプラグインエントリーにあり、ディレクトリー全体に適用されます。

通常の ACI と同様に、拒否ルールは許可ルールよりも優先度が高くなります。

重要

Directory Manager アカウントに適切なレベルのアクセス権があることを確認してください。この管理ユーザーは、時間外に保守操作を実行したり、障害に対応したりする必要がある場合があります。この場合、制限が厳しすぎる時間または曜日のルールを設定すると、Directory Manager ユーザーがディレクトリーを適切に管理できなくなる可能性があります。

1.13.2. コマンドラインを使用した RootDN アクセス制御プラグインの設定
リンクのコピー

デフォルトでは、RootDN Access Control プラグインは無効になっています。Directory Manager アカウントのアクセス許可を制限するには、プラグインを有効にして設定します。

手順

  1. RootDN Access Control プラグインを有効にします。 

    # dsconf <instance_name> plugin root-dn enable
    Copy to Clipboard Toggle word wrap

  2. バインドルールを設定します。たとえば、Directory Manager アカウントが IP アドレス 192.0.2.1 のホストから午前 6 時から午後 9 時までの間のみログインできるようにするには、次のように入力します。 

    # dsconf <instance_name> plugin root-dn set --open-time=0600 --close-time=2100 --allow-ip="192.0.2.1"
    Copy to Clipboard Toggle word wrap

    設定できるパラメーターの完全なリストとその説明は、次のように入力してください。 

    # dsconf <instance_name> plugin root-dn set --help
    Copy to Clipboard Toggle word wrap

  3. インスタンスを再起動します。 

    # *dsctl <instance_name> restart`
    Copy to Clipboard Toggle word wrap

検証

  • 許可されていない、または許可された時間範囲外のホストから cn=Directory Manager としてクエリーを実行します。 

    [user@192.0.2.2]$ ldapsearch -D "cn=Directory Manager" -W -H ldap://server.example.com -x -b "dc=example,dc=com"
Enter LDAP Password:
ldap_bind: Server is unwilling to perform (53)
	additional info: RootDN access control violation
    Copy to Clipboard Toggle word wrap

    Directory Server がアクセスを拒否した場合、プラグインは期待どおりに動作します。

1.13.3. Web コンソールを使用して RootDN アクセス制御プラグインを設定する
リンクのコピー

デフォルトでは、RootDN Access Control プラグインは無効になっています。Directory Manager アカウントのアクセス許可を制限するには、プラグインを有効にして設定します。

前提条件

  • Web コンソールでインスタンスにログインしている。

手順

  1. Plugins RootDN Access Control に移動します。
  2. プラグインを有効にします。

  3. 要件に従ってフィールドに入力します。

    セキュリティー rootdn アクセス制御
    View larger image
    セキュリティー rootdn アクセス制御
  4. Save をクリックします。
  5. 右上隅の Actions をクリックし、Restart Instance を選択します。

検証

  • 許可されていない、または許可された時間範囲外のホストから cn=Directory Manager としてクエリーを実行します。 

    [user@192.0.2.2]$ ldapsearch -D "cn=Directory Manager" -W -H ldap://server.example.com -x -b "dc=example,dc=com"
Enter LDAP Password:
ldap_bind: Server is unwilling to perform (53)
        additional info: RootDN access control violation
    Copy to Clipboard Toggle word wrap

    Directory Server がアクセスを拒否した場合、プラグインは期待どおりに動作します。

トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat