LinuCレベル3 300試験の例題と解説
390.2ディレクトリの保護
LinuCレベル3300試験の出題範囲から「390.2 ディレクトリの保護」についての例題を解いてみます。
このテーマは、LDAPサービスにおけるSSL/TLSによる暗号化やアクセスポート制限・認証方法が含まれ、セキュアな環境を構築するために必要となるので、しっかりと把握しておきましょう。
例題
OpenLDAPの非認証バインドについて正しい説明はどれか。
- ユーザ名・パスワードが要求される認証方式
- 名前もパスワードも要求されない認証方式
- ユーザ名のみ要求される認証方式
- パスワードのみ要求される認証方式
※この例題は実際の試験問題とは異なります。
回答と解説
正解は、「3.ユーザ名のみ要求される認証方式」です。
DAPの簡易認証では、以下の3つのモードがあります。
| 匿名バインド | : | 名前もパスワードも要求されない認証方式 |
| 非認証バインド | : | ユーザ名のみ要求される認証方式 |
| ユーザ名/パスワード認証方式 | : | ユーザ名・パスワードが要求される認証方式 |
それぞれ無効化や使用可能にする場合は、以下のように設定を行います。
- 匿名バインドを無効化する場合、slapd.confで"disallow bind_anon"を指定する
- 非認証バインドはデフォルトでは使用不可になっており、slapd.confに"allow bind_anon_cred"を指定することで使用可能となる
- ユーザー/パスワード認証バインドを無効にする場合、slapd.confに"disallow bind_simple"を設定する
その他、OpenLDAPではSASL(Simple Authentication and Security Layer)を使った認証も可能です。
OpenLDAPの認証を含むセキュリティ
https://www.openldap.org/doc/admin24/security.html
OpenLDAPにおけるSASL利用
https://www.openldap.org/doc/admin24/sasl.html
設定ファイル(slapd.conf)について
https://linux.die.net/man/5/slapd.conf
例題作成者
鯨井 貴博 (LinuCエヴァンジェリスト/登録インストラクター、LPI-Japanアカデミック認定校 Zeus IT Camp)