2.3 セキュリティ問題の対処
主要なセキュリティの問題として、認証、暗号化、およびリモートローダの使用を考慮する必要があります。Windows 2003またはWindows 2000 SP3以降がある場合は、署名というセキュリティオプションを考慮します。セキュリティパラメータの「署名を使用する」を参照してください。
Windowsで使用可能なセキュリティプロファイルはサーバのサービスパック、DNSサーバインフラストラクチャ、ドメインポリシー、およびサーバのローカルポリシー設定によって異なるため、セキュリティ管理の簡単な処方は考えられません。以降の節では、セキュリティの選択肢について説明し、推奨の環境設定を提示します。ドライバの実装時およびコンポーネントのアップグレード時には、セキュリティに細心の注意を払ってください。
2.3.1 認証方式
認証により、ドライバシムはActive Directoryに、および場合によってはローカルコンピュータに認識されます。Active Directoryの認証を受けるには、[ネゴシエーション]方式または[シンプル](単純なバインド)方式を使用できます。
Table 2-1 認証方式
2.3.2 暗号化
SSLでデータを暗号化します。環境設定に基づいて、SSLを次の2箇所で使用できます。
- Active Directoryドライバとドメインコントローラの間
- アイデンティティボールトとActive Directoryドライバを実行するリモートローダの間
Active Directoryとアイデンティティボールト(eDirectory)の間では、パスワード同期が行われます。ネットワークを介する通信では、必ずSSLを使用する必要があります。
メタディレクトリエンジン、アイデンティティボールト、Active Directoryドライバ、およびActive Directoryが同じコンピュータ上にある場合、SSLは不要です。通信は、ネットワークを横断しません。
ただし、メンバーサーバのActive Directoryドライバシムを使用してActive Directoryにリモートでアクセスする場合は、Active DirectoryドライバシムとActive Directoryの間にSSLを設定する必要があります。この操作を行うには、ドライバ環境設定のSSLパラメータを[はい]に設定します。Section 2.3.3, リモートローダとIdentity Managerの間のSSL接続のStep 5を参照してください。
ドメインコントローラのリモートローダを使用している場合は、メタディレクトリエンジンとリモートローダの間にSSLを設定できます。SSLとリモートローダの詳細については、『Novell Identity Manager 3.0管理ガイド』の「接続システムの設定」を参照してください。
次の表は、Section 2.2, インストールの計画で説明したシナリオごとにSSL接続を使用できる場所について説明しています。
Table 2-2 SSL接続
Active Directoryドライバとドメインコントローラの間のSSL接続
Active DirectoryドメインコントローラへのSSL接続を作成するには、SSLを使用するよう設定する必要があります。この作業には、認証局の設定、必要な証明書の作成、エクスポート、およびインポートが必要です。
認証局の設定
大半の組織には、すでに認証局が用意されています。このような場合には、有効な証明書をエクスポートした後、それをドメインコントローラの証明書ストアにインポートする必要があります。ドライバシムをホストするサーバは、この証明書の発行元認証局が連鎖しているルート認証局を信頼する必要があります。
組織に認証局が用意されていない場合は、認証局を確立する必要があります。Novell、Microsoft、および他のいくつかのサードパーティでは、認証局を確立するために必要なツールを提供しています。認証局を確立する方法については、このガイドでは説明していません。詳細については、次の資料を参照してください。
証明書の作成、エクスポート、およびインポート
認証局を用意できたら、LDAP SSLが正常に機能するように、LDAPサーバに適切なサーバ認証証明書をインストールする必要があります。また、ドライバシムをホストするサーバは、そのような証明書を発行した認証局を信頼する必要があります。サーバとクライアントのどちらも128ビット暗号化をサポートする必要があります。
-
次のActive Directory LDAPサービス要件を満たす証明書を生成します。
- LDAPS証明書が、ローカルコンピュータの個人証明書ストア(プログラム的にはコンピュータのMY証明書ストアと呼ばれる)に存在する。
- 証明書と一致する秘密鍵が、ローカルコンピュータのストアに存在し、正しく証明書に関連付けられている。
秘密鍵に対して強固な秘密鍵保護を有効にしないでください。
- 拡張キー使用法に、サーバ認証(1.3.6.1.5.5.7.3.1)オブジェクトID (OID)が含まれている。
- ドメインコントローラのActive Directoryでの完全修飾ドメイン名(DC01.DOMAIN.COMなど)が次のいずれかの場所に存在する。
- [サブジェクト]フィールドの共通名(CN)。
- [サブジェクトの別名]拡張のDNSエントリ。
- 証明書が、ドメインコントローラおよびLDAPSクライアントが信頼するCAによって発行されている。
信頼は、発行元CAが連鎖しているルートCAを信頼するようクライアントとサーバを設定することによって確立されます。
この証明書により、ドメインコントローラのLDAPサービスで、LDAPとグローバルカタログトラフィックをリスンして自動的に両方のSSL接続を受け入れることができるようになります。
NOTE:この情報については、Microsoftサポート技術情報の文書番号321051「SSLでどのようにサードパーティ証明機関とLDAPを有効にするには。」を参照してください。このドキュメントで最新の要件と追加情報を調べてください。
-
Windows 2000によってサポートされている次の標準の証明書ファイル形式のいずれかでこの証明書をエクスポートします。
- 個人情報交換(PFXまたはPKCS #12)
- 暗号化メッセージシンタックス標準(PKCS #7)
- DER (Distinguished Encoding Rules)エンコードのバイナリのX.509
- Base64エンコードのX.509
-
この証明書をドメインコントローラにインストールします。
次のリンクには、サポートされているプラットフォームごとの手順が記載されています。
「ローカル コンピュータ ストアへの証明書のインポート」で表示される手順に従ってください。
-
ドライバシムをホストするサーバと証明書を発行したルート認証局の間で信頼関係が確立されていることを確認します。
ドライバシムをホストするサーバは、発行元認証局が連鎖しているルート認証局を信頼する必要があります。
証明書の信頼を確立する方法の詳細については、Windows 2000 Serverのヘルプの「ルート証明機関の信頼を確立するポリシー」を参照してください。
-
iManagerで、ドライバのプロパティを編集して、[Use SSL (yes/no) (SSLを使用(はい/いいえ))]オプションを[はい]に変更します。
-
ドライバを再起動します。
ドライバが再起動すると、SSL接続は、ドメインコントローラとActive Directoryドライバシムを実行するサーバの間でネゴシエートされます。
証明書の確認
証明書を確認するには、SSLを介してADを認証します。Windowsサーバにあるldifdeコマンドラインユーティリティを使用します。ldifdeコマンドを使用する
-
コマンドラインプロンプトを開きます。
-
「ldifde -f output/input file -t 636 -b administrator domain password -s computerFullName」と入力します。
サーバがポート636に対して設定されている場合は、次のように入力します。
ldife -f out.txt -t 636 -b administrator dxad.novell.com novell -s parent1.dxad3.lab.novell
出力はout.txtファイルに送出されます。このファイルを開いてActive Directory内のオブジェクトの一覧を表示すると、Active DirectoryへのSSL接続が正しく作成され、証明書が有効になっていることがわかります。
2.3.3 リモートローダとIdentity Managerの間のSSL接続
リモートローダを使用している場合は、メタディレクトリエンジンとリモートローダの間およびドライバとActive Directoryの間でSSLを設定する必要があります。
リモートローダとIdentity Managerの間でSSL接続を確立する方法の詳細については、『Novell Identity Manager 3.0管理ガイド』の「リモートローダの設定
」を参照してください。