LinuCレベル3 300試験の例題と解説

390.2 ディレクトリの保護

今回は300試験の試験範囲から「390.2 ディレクトリの保護」についての例題を解いてみます。

■トピックの概要
このトピックの内容は以下の通りです。

<390.2 ディレクトリの保護>
重要度     3

<説明>
LDAPディレクトリに対する暗号化アクセスを設定し、ファイアウォールレベルでアクセスを制限できること。

<主要な知識範囲>
・SSL/TLSを用いてLDAPディレクトリのセキュリティを保護
・ファイアウォール設定の考慮事項
・非認証バインド
・ユーザ名/パスワード認証方式
・SASLユーザデータベースの保守
・クライアント/サーバ証明書

<重要なファイル、用語、ユーティリティ>
・SSL / TLS
・セキュリティ強度係数 (SSF)
・SASL
・proxy authorization
・StartTLS
・iptables

■例題
OpenLDAPのセキュリティの説明として間違っているものを選びなさい。

1. LDAPには認証に関する情報が含まれるので、暗号化を行う必要がある
2. LDAP通信の暗号化にはSSL/TLSを使った暗号化が利用できる
3. LDAP通信の接続を保護するためにダイジェスト認証が使用できる
4. LDAP通信を可能とするにはファイアーウォールの設定でポート389のみ通信可能に設定する

※この例題は実際のLinuC試験とは異なります。


解答と解説

答えは4. LDAP通信を可能とするにはファイアーウォールの設定でポート389のみ通信可能に設定する です。

OpenLDAPは認証に関わる情報を格納しているので、環境によってはアクセス時の認証や通信の暗号化などを行って情報を保護する必要があります。

接続時の認証は、クライアントからのアクセスの場合とレプリケーションの場合とがありますが、MD5などを使用したダイジェスト認証の方式でアクセス許可を行うことができます。ただし、あくまで匿名での接続を排除するだけなので、LDAP通信の内容は平文でやり取りされ、通信を傍受されてしまえば情報が漏洩してしまう可能性があります。

通信経路の安全性を確保できない場合には、SSL/TLSを使った通信の暗号化が行えます。設定としてはHTTPをSSLで暗号化する場合と同様に、CAの公開鍵や証明書などの設定が必要となります。HTTPとHTTPSがポートが分かれているのと同様、LDAPとLDAP over SSL/TLS(LDAPS)はポート番号が異なるので、LDAPのポート389だけでなく、必要に応じてLDAPSのポート636もファイアーウォールの設定で通信可能にする必要があるでしょう。

ページトップへ