LinuCレベル3 300試験の例題と解説

主題390OpenLDAP の設定

390.2ディレクトリの保護

このエントリーをはてなブックマークに追加

300試験の試験範囲から「390.2 ディレクトリの保護」についての例題を解いてみます。

このテーマは、OpenLDAPをセキュアな環境で使用するための設定等が含まれます。本番環境へのOpenLDAP導入では必要となる暗号化など、その設定方法をしっかりと把握しておきましょう。

Linucレベル3 300試験 出題範囲


例題

以下の説明のうち、OpenLDAPのセキュリティに関して正しいものを2つ選択せよ。

  1. 非認証バインドとは、認証にユーザー名のみが使用される。
  2. OpenLDAPのStartTLSでは、636/TCPが使用される。
  3. SASLは、認証時のユーザー名およびクライアントパスワードを暗号化する。
  4. OpenLDAPへのアクセスには、iptablesで389/TCPと636/TCPを許可する必要がある。

※この例題は実際の試験問題とは異なります。


解答と解説

正解は、「1.非認証バインドとは、認証にユーザー名のみが使用される。」と「4.OpenLDAPへのアクセスには、iptablesで389/TCPと636/TCPを許可する必要がある。」です。

不正解の選択肢については、正しくは以下となります。

  • OpenLDAPのStartTLSでは、389/TCPが使用される。
  • SASLは、認証時のクライアントパスワードを暗号化する。

OpenLDAPでは、ldapとして389/TCP・ldapsとして636/TCPが使用されます。また、StartTLSを設定した場合、389/TCPで暗号化通信が行われます。
そのため、iptablesなどファイアウォール機能では各ポートでの通信を許可する必要があります。

SASL(Simple Authentication and Security Layer)を利用することで、OpenLDAPの認証時にクライアントパスワードを暗号化することが可能になります。

OpenLDAPへ接続するユーザー認証は、通常ユーザー名とパスワードを使って行われますが、OpenLDAPでは非認証バインド(認証にユーザー名のみが使用される)や匿名バインド(ユーザー名もパスワードも使用されない)を使うこともできます。


例題作成者

鯨井 貴博 (LinuCエヴァンジェリスト/登録インストラクター、LPI-Japanアカデミック認定校 Zeus IT Camp)

ページトップへ