210.4 OpenLDAPサーバの設定

LinuC 202試験の試験範囲から「210.4 OpenLDAPサーバの設定」についての例題を解いてみます。
今回はLDAPのアクセス制御について取り上げます。LDAPアクセス制御設定を適切に行えるようにしておきましょう。

■トピックの概要
このトピックの内容は以下の通りです。

＜210.4 OpenLDAPサーバの設定＞
重要度 4

＜説明＞
LDIF形式および必須のアクセス制御に関する知識も含め、基本的なOpenLDAPサーバを設定する。

＜主要な知識範囲＞
・OpenLDAP
・ディレクトリベースの設定
・アクセス管理
・識別名
・Changetype の操作
・スキーマとホワイトページ
・ディレクトリ
・オブジェクト ID、属性、クラス

＜重要なファイル、用語、ユーティリティ＞
・slapd
・slapd-config
・LDIF
・slapadd
・slapcat
・slapindex
・/var/lib/ldap/*
・loglevel

■例題
OpenLDAPのアクセス制御設定についての問題です。
LDAPエントリのパスワード属性(userPassword)について、ユーザ認証を行なうために使用できるようにし、認証以外の接続は禁止するように設定を行います。
下記の空欄に当てはまるものを選択してください。

olcAccess: to attr=userPassword by ____________ by * none

1. users read
2. users auth
3. * auth
4. anonymous auth

※この例題は実際の試験問題とは異なります。

OpenLDAPのLDAPエントリと属性へのアクセスはolcAccess属性によって制御されます。
olcAccessは下記の形式で指定することができます。

olcAccess: to <what> by <who> <access> by <who> <access> ...

<what>
アクセス制御対象となるエントリや属性を指定します。
設定例)
dn.base="ou=people,o=suffix"
filter=(objectClass=person)
attrs=userPassword

<who>
アクセスが許可されるエンティティを指定します。
設定例)
* → すべて
anonymous → 匿名(認証されていない)ユーザ
users → 認証されたユーザ
self → ターゲットエントリに関連付けられたユーザ
dn.base="ou=people,o=suffix" → 指定したDN

<access>
以下の値を指定します。

none → アクセス許可なし
disclose → エラー時の情報開示
auth → 認証
compare → 比較
search → 検索の実行
read → 検索結果の読み出し
write → 変更、名前の変更
manage → 管理

それぞれの選択肢について解説します。

1. users read
誤っています。
usersは認証されたユーザへのアクセスを許可します。
ユーザ認証は認証されていないユーザへのアクセス許可が必用になります。

2. users auth
誤っています。
1と同じ理由です。

3. * read
誤っています。
*はすべてのユーザへのアクセスを許可、readは読み出しです。
本設定を行なった場合、userPasswordをすべてのユーザが参照できることになります。

4. anonymous auth
正解です。
anonymousは認証前のユーザへのアクセスを許可、authは認証を指定します。
本設定を行なうことで、ユーザ認証にuserPassword属性を許可することができます。

OpenLDAPのアクセス制御の設定方法を把握し、適切なアクセス制御を行えるようにしておきましょう。

■例題作成者