LinuCレベル2 202試験の例題と解説
2.07.4OpenLDAPサーバーの設定
LinuC 202試験の試験範囲から「2.07.4 OpenLDAPサーバーの設定」についての例題を解いてみます。
今回はLDAPのアクセス制御について取り上げます。LDAPアクセス制御設定を適切に行えるようにしておきましょう。
例題
OpenLDAPのアクセス制御設定についての問題です。
LDAPエントリのパスワード属性(userPassword)について、ユーザ認証を行なうために使用できるようにし、認証以外の接続は禁止するように設定を行います。
下記の空欄に当てはまるものを選択してください。
olcAccess: to attr=userPassword by ____________ by * none
- users read
- users auth
- * read
- anonymous auth
※この例題は実際の試験問題とは異なります。
解答と解説
答えは「4. anonymous auth」です。
OpenLDAPのLDAPエントリと属性へのアクセスはolcAccess属性によって制御されます。
olcAccessは下記の形式で指定することができます。
olcAccess: to <what> by <who> <access> by <who> <access> ...
<what>
アクセス制御対象となるエントリや属性を指定します。
設定例)
dn.base="ou=people,o=suffix"
filter=(objectClass=person)
attrs=userPassword
<who>
アクセスが許可されるエンティティを指定します。
設定例)
* → すべて
anonymous → 匿名(認証されていない)ユーザ
users → 認証されたユーザ
self → ターゲットエントリに関連付けられたユーザ
dn.base="ou=people,o=suffix" → 指定したDN
<access>
以下の値を指定します。
none → アクセス許可なし
disclose → エラー時の情報開示
auth → 認証
compare → 比較
search → 検索の実行
read → 検索結果の読み出し
write → 変更、名前の変更
manage → 管理
それぞれの選択肢について解説します。
1. users read
誤っています。
usersは認証されたユーザへのアクセスを許可します。
ユーザ認証は認証されていないユーザへのアクセス許可が必用になります。
2. users auth
誤っています。
1と同じ理由です。
3. * read
誤っています。
*はすべてのユーザへのアクセスを許可、readは読み出しです。
本設定を行なった場合、userPasswordをすべてのユーザが参照できることになります。
4. anonymous auth
正解です。
anonymousは認証前のユーザへのアクセスを許可、authは認証を指定します。
本設定を行なうことで、ユーザ認証にuserPassword属性を許可することができます。
OpenLDAPのアクセス制御の設定方法を把握し、適切なアクセス制御を行えるようにしておきましょう。