DXlink バインド上のユーザ クレデンシャル

LDAP サーバは LDAP ユーザからの接続のみを期待します。そのため、DXlink は X.500 バックボーンを普通の LDAP ユーザのように見えるようにする必要があります。
cad140jp
LDAP サーバは LDAP ユーザからの接続のみを期待します。そのため、DXlink は X.500 バックボーンを普通の LDAP ユーザのように見えるようにする必要があります。
名前およびパスワードのセキュリティ(シンプル クレデンシャル)で厄介な問題が発生します。DSP ではユーザ情報が各 DSP リクエストと共に渡されるので、ユーザが何人いても DSA 間の単一リンクによってサポートできます。ただし、LDAP ではリンクを共有できません。したがって、CA Directory DSA はすべての LDAP ユーザのために個別のリンクをセットアップする必要があります。
DSA がユーザから LDAP サーバへのダイレクト パススルーとして機能し、ユーザの名前が LDAP サーバ上にあるとき、DSA はそのユーザのための個別のリンクをセットアップし、そのリンクでそれらのクレデンシャルを使用します。
LDAP 操作用ユーザ クレデンシャルの設定
以下のいずれかが true である場合、LDAP サーバ設定ファイル内で DXlink 接続に使用されるクレデンシャルを設定できます。
  • リクエストを呼び出すユーザが、LDAP サーバの外部にある DN を使用して認証される。
  • 複数の DSA が LDAP サーバへのパス内にある。
    以下に例を示します。
    set dsa LDAP1 = { ... ldap-dsa-name   = <c US><o "Ace Industry"><cn "Fred Smith"> ldap-dsa-password = fredspassword ... };
バックボーンからのリクエストはすべてこのエントリに与えられる許可を使用するので、LDAP DSA 名は LDAP サーバ内の有効なエントリである必要があります。
前の例の DSA は、LDAP サーバによって送信されたバインド確認上で、クレデンシャルが返されると期待しています。クレデンシャルが返されない場合、バインドは拒否されます。
LDAP サーバのナレッジ リファレンスには、信頼フラグ
no-server-credentials
を含めることができます。これは DSA に対し、LDAP サーバがバインド上でクレデンシャルを返さないことを示します。
このフラグが設定されていると、クレデンシャルが含まれていない場合、DSA は LDAP サーバから返されたバインド確認結果を受理します。以下に例を示します。
set dsa LDAP1 = { ... trust-flags = no-server-credentials ...  };
LDAP 操作の自動認証
ディレクトリ バックボーンが DXlink 上で操作を実行するとき、ターゲット LDAP サーバ上のいくつかの操作では、ユーザがその操作を許可されていることを求める場合があります。
連鎖内の最後の DSA で LDAP サーバ上で操作を実行する発信元ユーザの認証が使用されるように、DXlink ナレッジに
dsp-ldap-proxy
リンク フラグを含めることができます。
重要:
発信元ユーザは LDAP サーバによって認証されないので、これはセキュリティを危険にさらす場合があります。
通常、連鎖内の最後の DSA は、
ldap-dsa-name
および
ldap-dsa-password
フラグで指定されたクレデンシャルを使用して、LDAP サーバにバインドします。
dsp-ldap-proxy
フラグも設定されている場合、最初のバインドを作成したユーザの DN が、その後、以下のリクエストに追加されます。
  • 検索
  • compare
  • modify
  • add
  • delete
  • modify DN
最初のバインドが匿名だった場合、その後のリクエストに DN は追加されません。
プロキシ ユーザは、リクエストの LDAP プロキシ認証制御での操作を実行するユーザの発信元 DN を含めることにより、DXlink 上で操作を連鎖させる DSA によって伝達されます。LDAP サーバは、
設定された ldap-dsa-name ユーザ
にすべてのユーザをプロキシする権限を許可する必要があります。
注:
dsp-ldap-proxy
リンク フラグは、ターゲット LDAP サーバが LDAP プロキシ認証制御をサポートしている場合にのみ使用できます。