そろそろLDAPにしてみないか?
第10回 OpenLDAPとACL
今回はOpenLDAPにおけるアクセス管理についてお話ししたいと思います。コンピュータの世界でファイルやDBにアクセス権という概念が存在するように,LDAPにおいても同様の考え方が存在します。たとえばLDAP上にUNIXアカウント情報を格納する場合,それぞれのユーザのパスワード情報はツリー上のuserPassword属性に格納します。
/etc/shadowと同様,パスワードは一般的に一方向関数で暗号化した状態で保存しますが,この情報が万が一他人の手に渡ってしまうと,John The Ripperなどのツールによって元のパスワードが漏洩してしまう可能性もあります。そのため,次のような形で適切なアクセスコントロールを行う必要があります。
- あるユーザは他のユーザのuserPassword属性を得ることはできない。
他ユーザのエントリを変更することもできない。 - ただし自分のエントリであれば自由に参照,変更することができる
これ以外の例として,OpenLDAPでは次のようなアクセスコントロールを実現することもできます。
- 特定のIPアドレスからであれば読み書き可能,それ以外からはリードオンリー
- mail属性が登録されているユーザからであれば読み取り可能,それ以外からは参照不可能
slapd.confとACL
アクセスコントロールはおなじみのslapd.conf中で設定します。フォーマットは次の通りですが,設定が長くなりがちなので,通常は複数行にまたいでACL設定を行います。
リスト1 ACLの書式
access to <what> [ by <who> <access> [ <control> ] ]+
まずは単純な設定を見てみましょう。
リスト2 全エントリに参照を許可
access to dn.subtree="ou=People,dc=example,dc=com"
by * read
この設定は,ou=People,dc=example,dc=com以下のサブツリーに対して,アスタリスク,つまり全アクセスにおける読み込み許可を設定しています。もちろん改行を行わず,
リスト3
access to dn.subtree="ou=People,dc=example,dc=com" by * read
と設定することも可能です。
先ほどのwhatフィールドに設定できる項目は,DN,フィルタ,属性です。つまり「~というDNに対して」「~という検索フィルタにマッチする場合に」「特定の属性に対して」といった設定を行うことができます。
whoフィールドについては,「特定のDNである場合」「特定のフィルタにマッチする場合」「特定のIPアドレスの場合」などさまざまな設定を行うことができます。すべてを紹介することはできませんので,マニュアルであるslapd.access(5)を参照してください。
accessフィールドでは読み込みや書き込みなどの実際の挙動を設定します。具体的にはnone, disclose, auth, compare, search, read, writeという設定を行うことができますので,たとえば,特定のDNからであれば認証のみ許可するがエントリは参照させない,といった設定も可能です。それぞれの意味は表1の通りです。
表1 それぞれの意味
| none | なし |
| disclose | なし(エラー情報は開示) |
| auth | 認証の許可 |
| compare | 比較の許可 |
| search | 検索の許可 |
| read | 読み込みの許可 |
| write | 読み書きの許可 |
ちなみに,OpenLDAP-2.4系には管理DITを編集するために,writeよりも強いmanageという設定項目があるようですが,時間の都合により詳しく検証することができませんでした。
最後に,CONTROLフィールドではstop, continue, breakを設定することができます。たとえば
リスト4
access to dn.subtree="dc=example,dc=com"
by * none
by peername.ip=127.0.0.1 write
という設定の場合,2行目で全アクセスに対してnoneを設定しているため,通常であれば3行目は評価されず,仮にローカルホストからの接続であっても検索を行うことができません。一方,
リスト5
access to dn.subtree="dc=example,dc=com"
by * none continue
by peername.ip=127.0.0.1 write
という設定を行っておけば,2行目にマッチした場合でもcontinueにより3行目の評価を行うことが可能で,その結果ローカルホストからの接続であれば読み書きが可能となります。
ちなみに,これらの例は良くない例なので,実は最初から
リスト6
access to dn.subtree="dc=example,dc=com"
by peername.ip=127.0.0.1 write
by * none
という設定を行っておけば,この要件を満たすことができます。では次はbreakに関する例です。
リスト7
access to dn.subtree="dc=example,dc=com"
by * none
access to dn.subtree="dc=example,dc=com"
by * read
という設定が存在した場合,全てのアクセスが2行目にマッチしてしまうため,全ての検索などができません。一方,
リスト8
access to dn.subtree="dc=example,dc=com"
by * none break
access to dn.subtree="dc=example,dc=com"
by * read
という設定の場合,2行目の評価が終わっても,継続して以降の評価を行うことができます。この結果,まずは2行目にマッチしてしまうのですが,その後4行目にマッチすることで,読み込み操作が可能となります。
中満英生(なかみつひでお)
大学時代に出会ったSolarisがきっかけでUNIXの世界へ。その後ホスティングプロバイダ,データセンターで実務経験を積む傍ら,雑誌記事の執筆や技術セミナーの講師を務める。サーバ設定の他,セキュリティに関する著作や技術者エッセイも執筆経験あり。
![[改訂3版]図解でよくわかる ネットワークの重要用語解説](http://image.gihyo.co.jp/assets/images/cover/2009/thumb/TH40_9784774138213.jpg){kind=small}
![[改訂第3版] SQLポケットリファレンス](http://image.gihyo.co.jp/assets/images/cover/2009/thumb/TH40_9784774138350.jpg){kind=small}
