セキュリティ付きLDAP接続の有効化

ルート認証局は、パブリックキーインフラストラクチャを使用した認証で中心的な役割を果たします。ルート認証局とは、ユーザが暗黙的に信頼し、使用するブラウザ(または他のクライアントソフトウェア)にインストールする証明書です。SSLセキュリティのコンテキストでは、ユーザのブラウザにインストールされた有効なルート認証局の1つにより署名されたすべてのサーバ証明書が、ブラウザにより自動的に検証されます。eDirectoryでは、ユーザが証明書サーバを受け入れると、認証局オブジェクトおよび暗号化キーオブジェクトがデフォルトでインストールされます。NetscapeおよびMicrosoft Internet Explorerのブラウザには、さまざまなルート認証局証明書が事前設定されています。


SSL (Secure Sockets Layer)プロトコルについて

LDAP Services for eDirectoryは、安全な接続を確立して転送されるデータの秘密を保持できるようにするために、SSLプロトコルをサポートします。

SSLは、SSLが利用可能なサーバとクライアントとの間のインターネット通信を確立し、その安全性を維持します。SSLでは、メッセージの整合性を保つため、ハッシュアルゴリズムを使用します。また、メッセージのプライバシーを確保するため、暗号化された通信回線を確立し、使用しています。メッセージの改ざんを防止するため、安全な接続が確立されている間にサーバが(オプションの設定ではクライアントも)互いを認証できるようになっています。


暗号化キーオブジェクト

SSLでは、認証と暗号化のプロセスを実現するために、パブリックキーと呼ばれる暗号化メカニズムを使用します。安全な接続を確立するために、サーバとクライアントはそれぞれのパブリックキーを交換して、セッションキーを生成します。接続が確立されている間は、このセッションキーによりデータが暗号化されます。その後、SSLを利用した別のLDAP接続が確立されると、以前のセッションキーとは異なる新しいセッションキーが生成されます。

SSLを実装するには、各LDAPサーバにデジタル証明書をインストールする必要があります。デジタル証明書は、認証局(CA)により発行されます。証明書は暗号化キーオブジェクト内に保存されます。ConsoleOne Novell Certificate Serverスナップインを使用して、eDirectory内で証明書を要求、管理、および保存できます。サーバにおける証明書の設定の詳細については、Novell Certificate ServerTMのヘルプを参照してください(暗号化キーオブジェクトページのいずれかで[ヘルプ]をクリックします)。

ある特定の証明書がeDirectory内に保存された後で、LDAPサーバがその証明書を使用してLDAP SSL接続を確立するようにするには、証明書が保存されている暗号化キーオブジェクトをConsoleOneの[LDAPサーバのSSL環境設定]ページで指定する必要があります。

  1. LDAPサーバオブジェクトを右クリックします。

    2.

  2. [SSL環境設定]タブをクリックします。

    3.

  3. [SSL証明書]フィールドに暗号化キーオブジェクトの名前を入力します。

    eDirectoryでは、複数の暗号化キーオブジェクトがさまざまなSSL証明書を保持できます。ただし、LDAPサーバがSSL接続で使用するのは、このパラメータで定義されたオブジェクトだけです。暗号化キーオブジェクト名の一部だけを入力したり、使用可能なオブジェクトのリストを参照することもできます。


SSLを設定する

サーバとクライアントがともに正当な当事者であることを確認するために、サーバとクライアントの両方でSSLを設定できます。ただし、クライアントにはデジタル証明書をインストールしなくても、通信の安全性は確保されます。LDAPサーバが専用ポート上でSSL接続を受信している場合、クライアントは証明書サーバを受け入れるときにこのポート上での接続を自動的に開始できます。接続を手動で開始するには、次を実行します。

  1. ConsoleOneで、LDAPサーバオブジェクトを右クリックします。

    2.

  2. [SSL環境設定]タブをクリックします。

    3.

  3. eDirectoryサーバ上のLDAPサービスのSSLポート番号を入力します。

    [SSLポートを使用不可にする]をクリックして、暗号化されたメッセージがネットワーク上で交換されないようにすることもできます。

    4.

ConsoleOneを使用してLDAP Services for eDirectoryの環境設定を変更すると、変更の一部は動的に更新され、LDAPサーバを再起動しなくても有効になります。


相互認証を有効にする

メッセージの改ざんを防止するため、安全な接続の確立中にサーバが(オプションの設定ではクライアントも)互いを認証できるようになっています。

  1. ConsoleOneで、LDAPサーバオブジェクトを右クリックします。

    2.

  2. [SSL環境設定]タブをクリックします。

    3.

  3. [相互認証を有効にする]を選択します。

    4.

ルート認証局をエクスポートする

証明書サーバを受け入れるときにルート認証局を自動的にエクスポートできます。手動でエクスポートするには、次を実行します。

  1. eDirectoryから、自己割り当て認証局をエクスポートします。

    1. 暗号化キーオブジェクトを右クリックし、[プロパティ]をクリックします。

      2.

    2. [証明書]タブ>[パブリックキー証明書]の順にクリックします。

      3.

    3. [エクスポート]をクリックします。
      ファイルをNetscapeブラウザにインポートする場合、ファイル拡張子を.x509に変更します。

      4.

  2. eDirectoryとの安全なLDAP接続を確立するすべてのブラウザに、自己割り当て認証局をインストールします。

    3.

Internet Explorer 5により、ルート証明書が自動的にエクスポートされ、レジストリが更新されます。MicroSoftが従来から使用している.x509拡張子が必要です。ステップ 2を参照してください。


ブラウザにルート認証局をインポートする


Netscape Navigatorにルート認証局をインポートする

  1. [ファイル]>[ページを開く]の順にクリックします。

    2.

  2. [ファイルを選択]をクリックし、以前にエクスポートしたルート認証局ファイルを開きます。

    New Certificate Authorityウィザードが起動します。

    正しいファイル拡張子がワークステーションに登録されていない場合、New Certificate Authorityウィザードは起動しません。たとえば、Internet Explorer 5またはWindows NT Service Pack 4以降がインストールされている場合などにこの問題が発生します。

    この問題を解決するには、次を実行します。

    • Navigatorを終了します。
    • install_directory\NDSにあるX509.REGファイルを実行します。install_directoryはeDirectoryのインストール時に選択したディレクトリ名です。
    • エクスポートしたルート認証局証明書ファイルの拡張子を.X509にリネームします。
      •
    • ルート認証局証明書をNavigatorにインポートします。
      •

  3. 表示される指示に従います。

  4. [ネットワークサイトの認証にこの認証局を使用]をチェックします。

    5.

Internet Explorerにルート認証局をインポートする

  1. [ファイル]>[開く]の順に選択します。

    2.

  2. 以前にエクスポートしたルート認証局ファイルを探し出して選択します。

    New Site Certificateウィザードが起動します。

    3.

  3. 表示される指示に従います。

    Internet Explorer 5により、ルート証明書が自動的にインポートされます。

    4.