LinuCレベル3 300試験の例題と解説
390.2 ディレクトリの保護
■トピックの概要
このトピックの内容は以下の通りです。
<390.2 ディレクトリの保護>
重要度 3
<説明>
LDAPディレクトリに対する暗号化アクセスを設定し、ファイアウォールレベルでアクセスを制限できること。
<主要な知識範囲>
・SSL/TLSを用いてLDAPディレクトリのセキュリティを保護
・ファイアウォール設定の考慮事項
・非認証バインド
・ユーザ名/パスワード認証方式
・SASLユーザデータベースの保守
・クライアント/サーバ証明書
<重要なファイル、用語、ユーティリティ>
・SSL / TLS
・セキュリティ強度係数 (SSF)
・SASL
・プロキシ認証
・StartTLS
・iptables
■例題
OpenLDAPでSSL/TLSを使用して通信を保護するために不要なものを選びなさい。
1. CA(認証局)の証明書
2. サーバ証明書
3. サーバの秘密鍵
4. クライアント証明書
※この例題は実際のLinuC試験とは異なります。
解答と解説
答えは4. クライアント証明書 です。
まず、OpenLDAPサーバが使用するサーバ証明書が必要となります。サーバ証明書はCA(認証局)による電子署名が必要になりますが、小規模でプライベートな保護を行うのであれば、OpenSSLを使って自分でCAを作成する方法も選択できます。電子署名は、CAの秘密鍵が使用されます。
CAが電子署名したサーバ証明書には、CAの公開鍵が含まれます。サーバ証明書が正しいことを検証するには、このCA公開鍵が必要となります。CAの公開鍵は、OpenLDAPサーバに接続するLDAPクライアントにインストールする必要があります。
SSL/TLSで保護されたOpenLDAPサーバを動かすには、サーバの秘密鍵も必要になります。LDAPクライアントがサーバ証明書に含まれるサーバの公開鍵で暗号化した情報を、OpenLDAPサーバが復号するするために使用されます。
クライアント証明書は、接続認証を目的に使用します。たとえばOpenVPNなどでVPN環境を構築する際に、クライアント証明書を所有しているユーザーのみ接続を許可するなどの用途に使用されます。LDAPの通信を保護するという目的においては、クライアント証明書は必要ありません。
■例題作成者 株式会社びぎねっと 代表取締役社長 宮原徹氏 ※上記の解説とその内容については、例題作成者の監修です。