LinuCレベル2 202試験の例題と解説

2.07.4OpenLDAPサーバーの設定

LinuC 202試験の試験範囲から「2.07.4 OpenLDAPサーバーの設定」についての例題を解いてみます。
今回はLDAPのアクセス制御について取り上げます。LDAPアクセス制御設定を適切に行えるようにしておきましょう。

Linucレベル2 202試験 出題範囲


例題

OpenLDAPのアクセス制御設定についての問題です。
LDAPエントリのパスワード属性(userPassword)について、ユーザ認証を行なうために使用できるようにし、認証以外の接続は禁止するように設定を行います。
下記の空欄に当てはまるものを選択してください。

olcAccess: to attr=userPassword by ____________ by * none

  1. users read
  2. users auth
  3. * read
  4. anonymous auth

※この例題は実際の試験問題とは異なります。


解答と解説

答えは「4. anonymous auth」です。

OpenLDAPのLDAPエントリと属性へのアクセスはolcAccess属性によって制御されます。
olcAccessは下記の形式で指定することができます。

olcAccess: to <what> by <who> <access> by <who> <access> ...

<what>
アクセス制御対象となるエントリや属性を指定します。
設定例)
dn.base="ou=people,o=suffix"
filter=(objectClass=person)
attrs=userPassword

<who>
アクセスが許可されるエンティティを指定します。
設定例)
* → すべて
anonymous → 匿名(認証されていない)ユーザ
users → 認証されたユーザ
self → ターゲットエントリに関連付けられたユーザ
dn.base="ou=people,o=suffix" → 指定したDN

<access>
以下の値を指定します。

none → アクセス許可なし
disclose → エラー時の情報開示
auth → 認証
compare → 比較
search → 検索の実行
read → 検索結果の読み出し
write → 変更、名前の変更
manage → 管理

それぞれの選択肢について解説します。

1. users read
誤っています。
usersは認証されたユーザへのアクセスを許可します。
ユーザ認証は認証されていないユーザへのアクセス許可が必用になります。

2. users auth
誤っています。
1と同じ理由です。

3. * read
誤っています。
*はすべてのユーザへのアクセスを許可、readは読み出しです。
本設定を行なった場合、userPasswordをすべてのユーザが参照できることになります。

4. anonymous auth
正解です。
anonymousは認証前のユーザへのアクセスを許可、authは認証を指定します。
本設定を行なうことで、ユーザ認証にuserPassword属性を許可することができます。

OpenLDAPのアクセス制御の設定方法を把握し、適切なアクセス制御を行えるようにしておきましょう。


例題作成者

株式会社デージーネット OSS研究室 大野 公善

ページトップへ