Jump to content 日本-日本語

製品  >  ソフトウェア  >  HP-UX   >  Knowledge-on-Demand  >  知っておくべきセキュリティ対策

知っておくべきセキュリティ対策
-HP-UXのセキュリティを極める-

第7回 LDAPによるアカウント統合化

HP-UX/Integrityサーバー お問い合せ
コンテンツに進む
第7回 LDAPによるアカウント統合化
知っておくべきセキュリティ対策 -HP-UXのセキュリティを極める- 第7回
LDAPによるアカウント管理が主流に
LDAP-UXクライアント・サービスの構成
ページ:  戻る   |   1   2

LDAP-UXクライアント・サービスの構成

まずは、LDAP-UXのクライアント・サービスを概観しよう。図3に示すように、LDAP-UXでは、ldapclientdデーモンがLDAPクライアントとして動作し、LDAPサーバーに認証情報などの問い合わせを実行する。そこで得られた認証情報がHP-UXの組み込み可能な認証モジュールであるPAM(Pluggable Authentication Module)や名前解決のサービスを切り替えるNSS(Name Service Switch)に渡され、通常のHP-UXのアカウント情報と同じように扱われる仕組みだ。こうして登録されたLDAPアカウントは、ネットワーク上の複数のHP-UXサーバーから共有可能であり、個々のHP-UXに同じアカウント情報を繰り返し登録する手間を省くことができる。

LDAP-UXクライアント・サービスの構成
図3:LDAP-UXクライアント・サービスの構成

こうしたLDAP-UXによるアカウント統合を実際に導入するには、まずはLDAPサーバーとなるRHDSのSSL設定を実施する必要がある。RHDSではGUIベースの設定ツールを備えており、SSL証明書の登録等を比較的簡単に実施できる。

RHDSによるSSL設定の例
図4:RHDSによるSSL設定の例

一方、LDAPクライアントとなるLDAP-UXでは、証明書管理用のコマンドcertutilを用いて、証明書データベースの初期化や証明書の登録を実施する。

証明書データベースの初期化
/opt/ldapux/contrib/bin/certutil -N -d /etc/opt/ldapux

LDAPサーバーの証明書の登録
/opt/ldapux/contrib/bin/certutil -A -n my-server-cert \
-t "P,," -d /etc/opt/ldapux -a -i /tmp/mynew.cert

セットアップ時にSSLのポートを指定(デフォルト636)
/opt/ldapux/config/setup

NSSおよびPAMの設定(LDAP環境向けテンプレートのコピー)
cp /etc/pam.ldap /etc/pam.conf
cp /etc/nsswitch.ldap /etc/nsswitch.conf

以上の設定により、HP-UXの通常のローカル・アカウント以外に、LDAPサーバー上に保存される「LDAPアカウント」が登録可能となる。HP-UX 11i v3の2007年9月版以降では、このLDAPアカウントをHP SMH上で管理できるようになった。図5は、SMHによるLDAPアカウントの追加の例である。
SMHによるLDAPアカウントの追加
図5:SMHによるLDAPアカウントの追加

ちなみに、UNIX環境やLinux環境では一般的に、PAMとLDAPの連携にpam_ldapが用いられるが、LDAP-UXではHP独自にpam_authzを提供している。このpam_authzは、LDAPサーバーに登録されたさまざまな属性情報に基づいてシステムにログイン可能なユーザを制御できる機能を備える。例えば、あるLDAPアカウントがログイン可能なホスト名の一覧をLDAPサーバーに登録したり、会社組織上の属性情報に応じてログインの許可/不許可を制御したりすることが可能だ。
pam_authzによるPAMとLDAPの連携
図6:pam_authzによるPAMとLDAPの連携

以上、今回はLDAP-UXを利用したアカウント統合を紹介した。さて、HP-UXに備わる最新のセキュリティ機能にスポットをあてる本連載は、今回で最終回となる。さまざまなセキュリティ上の課題に対して、「HP-UXならばこう解決できる」と答えるためのヒントを本連載で提供できたならば幸いである。

関連資料

Red Hat Directory Server 管理者ガイド リンク先はUSサイトです。 (PDF)
LDAP-UXクライアントサービス管理者ガイド リンク先はUSサイトです。

コラム:HP-UX 11iv3がCommon Criteria認定を取得

  2008年3月、HP-UX 11i v3はITセキュリティの国際共通基準である「Common Criteria (以下、CC)/ISO15408」認定を取得した。CCは、ISO15408(正式名:ISO/IEC 15408)としても知られるセキュリティ基準の国際標準規格。情報技術をセキュリティの観点から、製品及びシステムが適切に設計され、その設計が正しく実装されているかを評価する国際標準規格だ。HP-UX11i v3は、同規格の「ALC_FLR.3付き評価保証レベル4(EAL4+)」認定を取得した。

今回、HP-UX 11i v3がCC/ISO15408認定を取得したことにより、2008年3月以降に資産登録を行うHP-UX 11i v3および、それを搭載するサーバーなどについて、税制上の優遇措置(減税)に対する申請条件のひとつを満たすことになる。

HP-UX11iの最新バージョンがITセキュリティ共通基準認定(ISO15408)を取得
 

連載記事一覧 戻る ページ:  戻る   |   1   2

連載 「知っておくべきセキュリティ対策 -HP-UXのセキュリティを極める-」記事一覧

第1回 セキュリティの『多層防御』とHP-UX
第2回 EVFSとTCSによるデータ暗号化
第3回 PS-WSでつくるセキュアなWebサーバー
第4回 Bastilleによるシステムアセスメント
第5回 audsysとHIDSによる監査と侵入検知
第6回 RBACによる権限分掌
第7回 LDAPによるアカウント統合化

 その他の連載記事


本ページの内容は執筆時の情報に基づいており、異なる場合があります。

お問い合わせ

ご購入前のお問い合わせ


ご購入後のお問い合わせ

HPEサポートセンター
製品の標準保証でご利用いただける無償のサービスです。

ショールーム

ショールーム 導入をご検討のお客様へ
業務アプリケーションの継続・標準化・開発性とシステム担当者様、システム開発者様が抱える悩み・疑問に対する解決策実体験して頂けます。
印刷用画面へ
プライバシー ご利用条件・免責事項