LinuCレベル3 300試験の例題と解説
390.2ディレクトリの保護
300試験の試験範囲から「390.2 ディレクトリの保護」についての例題を解いてみます。
このテーマは、OpenLDAPをセキュアな環境で使用するための設定等が含まれます。本番環境へのOpenLDAP導入では必要となる暗号化など、その設定方法をしっかりと把握しておきましょう。
例題
以下の説明のうち、OpenLDAPのセキュリティに関して正しいものを2つ選択せよ。
- 非認証バインドとは、認証にユーザー名のみが使用される。
- OpenLDAPのStartTLSでは、636/TCPが使用される。
- SASLは、認証時のユーザー名およびクライアントパスワードを暗号化する。
- OpenLDAPへのアクセスには、iptablesで389/TCPと636/TCPを許可する必要がある。
※この例題は実際の試験問題とは異なります。
解答と解説
正解は、「1.非認証バインドとは、認証にユーザー名のみが使用される。」と「4.OpenLDAPへのアクセスには、iptablesで389/TCPと636/TCPを許可する必要がある。」です。
不正解の選択肢については、正しくは以下となります。
- OpenLDAPのStartTLSでは、389/TCPが使用される。
- SASLは、認証時のクライアントパスワードを暗号化する。
OpenLDAPでは、ldapとして389/TCP・ldapsとして636/TCPが使用されます。また、StartTLSを設定した場合、389/TCPで暗号化通信が行われます。
そのため、iptablesなどファイアウォール機能では各ポートでの通信を許可する必要があります。
SASL(Simple Authentication and Security Layer)を利用することで、OpenLDAPの認証時にクライアントパスワードを暗号化することが可能になります。
OpenLDAPへ接続するユーザー認証は、通常ユーザー名とパスワードを使って行われますが、OpenLDAPでは非認証バインド(認証にユーザー名のみが使用される)や匿名バインド(ユーザー名もパスワードも使用されない)を使うこともできます。
例題作成者
鯨井 貴博 (LinuCエヴァンジェリスト/登録インストラクター、LPI-Japanアカデミック認定校 Zeus IT Camp)