LDAP over TLSの概念

ONTAPによるTLSを使用したLDAP通信の保護方法に関する用語や概念を理解しておく必要があります。ONTAPは、Active Directory統合LDAPサーバ間またはUNIXベースのLDAPサーバ間の認証されたセッションを設定するためにLDAP over TLSを使用できます。

用語

ONTAPでのLDAP over TLSを使用したLDAP通信の保護方法に関して理解しておくべき用語があります。

LDAP
(Lightweight Directory Access Protocol;ライトウェイト ディレクトリ アクセス プロトコル)情報ディレクトリに対するアクセスおよび管理を行うためのプロトコルです。LDAPは、ユーザ、グループ、ネットグループのようなオブジェクトを格納するための情報ディレクトリとして使用されます。またLDAPは、これらのオブジェクトを管理したりLDAPクライアントからの要求を満たしたりするディレクトリ サービスを提供します。
SSL
(Secure Sockets Layer)インターネット上で情報を安全に送信するために開発されたプロトコルです。ONTAP 9以降では、SSLはサポートされなくなりました。
TLS
(Transport Layer Security) それまでのSSL仕様に基づいたIETF標準の追跡プロトコルです。SSLの後継にあたります。
LDAP over TLS
LDAPS)TLSを使用してLDAPクライアントとLDAPサーバとの間の通信を保護するプロトコルです。「LDAP over SSL」と「LDAP over TLS」の2つの用語が区別なく使用されることがありますが、ONTAP 9以降ではTLSのみがサポートされています。
Start TLS
start_tlsSTARTTLSStartTLSとも表記)TSLプロトコルを使用してセキュアな通信を提供するメカニズムです。

ONTAPでは、LDAP通信を保護するためにSTARTTLSを使用し、デフォルトのLDAPポート(389)を使用してLDAPサーバと通信します。LDAPサーバは、LDAPポート389経由の接続を許可するように設定する必要があります。そうしないと、Storage Virtual Machine(SVM)からLDAPサーバへのLDAP TLS接続が失敗します。

ONTAPでのLDAP over TLSの使用方法

デフォルトでは、クライアント アプリケーションとサーバ アプリケーション間のLDAP通信は暗号化されません。つまり、ネットワーク監視用のデバイスまたはソフトウェアを使用してLDAPクライアントおよびサーバ コンピュータ間の通信内容を表示することが可能です。これが特に問題になるのは、LDAPの簡易バインドが使用されている場合です。LDAPクライアントをLDAPサーバにバインドするために使用されるクレデンシャル(ユーザ名とパスワード)が、暗号化されずにネットワークを介して渡されるからです。

TLSプロトコルは、TCP/IPよりも上位、かつLDAPのような高レベルのプロトコルよりも下位で動作します。これらのプロトコルは、高レベル プロトコルに代わってTCP/IPを使用し、その処理において、TLS対応のサーバがTLS対応クライアントに対して自らの認証を行うのを許可したり、双方のマシンが暗号化された接続を確立するのを許可したりします。こうした機能により、インターネットやその他のTCP/IPネットワーク上での通信についての基本的なセキュリティ面での懸念は払拭されます。

ONTAPはTLSサーバ認証をサポートしています。この認証により、SVMのLDAPクライアントは、バインド操作時にLDAPサーバの識別情報を確認できます。TLSに対応したLDAPクライアントは、公開鍵暗号化の標準的な技法を使用して、サーバの証明書および公開IDが有効であり、かつクライアントの信頼できるCertificate Authority(CA;認証局)のリストにあるCAによって発行されたものであるかどうかをチェックできます。

LDAPでは、TLSを使用した通信の暗号化方法としてSTARTTLSがサポートされています。STARTTLSは標準のLDAPポート(389)経由でプレーンテキスト接続として開始され、その後TLS接続にアップグレードされます。

ONTAPでは以下をサポートしています。

デフォルトでは、LDAP over TLSが無効になっています。