SLDAP について
Transport Layer Security(TLS)
Transport Layer Security(TLS)は、プライバシー、認証、およびデータ整合性によるデータのセキュア トランザクションを可能にするアプリケーションレベル プロトコルです。TLS は、証明書、公開キーおよび秘密キーに基づいて、クライアントの ID を証明します。
証明書は認証局(CA)によって発行されます。
各証明書には次のものが含まれています。
-
発行された権限の名前。
-
証明書の発行先エンティティの名前。
-
エンティティの公開キー。
-
証明書の有効期限を示すエンティティのタイムスタンプ。
TLS による LDAP のサポートについては、LDAP プロトコルの拡張である RFC 2830 を参照してください。
LDAP 操作
バインドバインド操作は、サーバに対してユーザを認証するために使用されます。LDAP サーバとの接続を開始するために使用されます。LDAP はコネクション型プロトコルです。クライアントはプロトコル バージョンと認証情報を指定します。
LDAP は次のバインドをサポートします。
-
認証済みバインド:認証済みバインドは、ルートの認定者名(DN)とパスワードが使用できる場合に実行されます。
-
匿名バインド:ルート DN とパスワードがない場合は、匿名バインドが実行されます。
LDAP 環境では、検索操作が実行されてから、バインド操作が実行されます。これは、パスワード属性が検索操作の一部として返される場合、パスワードの確認を LDAP クライアントのローカルで実行できるためです。したがって、余計なバインド操作を実行する必要がなくなります。パスワード属性が返されない場合、バインド操作を後で実行できます。検索操作を先に実行してバインド操作を後で実行するもう 1 つの利点は、ユーザ名(cn 属性)の前にベース DN を付けることで DN を構成するのではなく、検索結果で受信した DN をユーザ DN として使用できることです。LDAP サーバに保存されているすべてのエントリには、固有の DN があります。
DN は 2 つの部分で構成されます。
-
相対識別名(RDN)
-
レコードが存在する LDAP サーバ内の場所。
LDAP サーバに保存されているエントリのほとんどには名前があり、多くの場合、名前は Common Name(cn)属性で保存されます。すべてのオブジェクトには名前があるため、LDAP に保存されているほとんどのオブジェクトは RDN のベースとして cn 値を使用します。
検索検索操作は、LDAP サーバを検索するために使用されます。クライアントは検索の開始点(ベース DN)、検索範囲(オブジェクト、その子、またはそのオブジェクトをルートとするサブツリー)、およびサーチ フィルタを指定します。
認可要求の場合、検索操作はバインド操作なしで直接実行されます。検索操作を正常に実行するには、LDAP サーバを特定の特権で設定します。この特権レベルは、バインド操作で設定します。
LDAP 検索操作は、特定のユーザについて複数のユーザ エントリを返す可能性があります。このような場合、LDAP クライアントは適切なエラー コードを AAA に返します。このようなエラーを回避するために、単一のエントリに一致させるための適切なサーチ フィルタを設定する必要があります。
比較認証のために、比較操作を使用して、バインド要求を比較要求で置換します。比較操作によって、接続のための最初のバインド パラメータを維持できます。
LDAP ダイナミック属性マッピング
Lightweight Directory Access Protocol(LDAP)は、AAA サーバとの通信に適した強力で柔軟性の高いプロトコルです。LDAP 属性マップには、サーバから取得した属性を、セキュリティ アプライアンスによってサポートされるシスコ属性にクロスリファレンスする方式が備わっています。
ユーザがセキュリティ アプライアンスを認証すると、次にセキュリティ アプライアンスはサーバを認証し、LDAP プロトコルを使用してそのユーザのレコードを取得します。このレコードは、サーバにユーザ インターフェイスに表示されるフィールドに関連付けられた LDAP 属性で構成されます。取得される各属性には、ユーザ レコードを更新する管理者が入力した値が含まれます。