 |
ユーザーの認証方式には、入力されたユーザーIDとパスワードをHP IceWall SSOが照合する方式(BIND認証なし)と、ユーザーIDとパスワードでOpenLDAPにbindすることで照合を行う方式(BIND認証あり)とが存在します。
「BIND認証あり」の場合、まず、入力されたユーザーIDをフィルターとして検索することでdn(識別名)を取得します。その後、取得したdnでbindを実施しますので、「BIND認証なし」の場合に比べると、オーバーヘッドが発生します。 |
 |
 |
 |
 |
 |
 |
図3. BIND認証あり、BIND認証なしのシーケンス比較 |
 |
 |
パスワードは一般的にハッシュされた状態で保存されています。ハッシュアルゴリズムには、照合を行う主体がサポートするものだけを使用することが可能です。 |
 |
 |
 |
|
なし |
HP IceWall SSO |
SHA, MD5, SHA256 |
あり(※8) |
OpenLDAP |
SHA, MD5, SSHA, SMD5, CRYPT(※9) |
|
 |
 |
 |
通常は、よりオーバーヘッドの小さな「BIND認証なし」を認証方式として選択、よりセキュアな「SHA256」をハッシュアルゴリズムとして選択(※10)します。認証モジュール設定ファイル(cert.conf)の設定例は以下の通りです。
|
 |
 |
 |
 |
 |
LDAPBIND=0
PWDLOGINHASH=SHA256
PWDCHGHASH=SHA256 |
 |
 |
|
 |
 |