そろそろLDAPにしてみないか？

第18回　OpenLDAPとSASL

2008年12月24日

中満英生

LDAP, OpenLDAP, SASL, SMTP Auth

エントリ, クライアント

最初に

前回までのFDS記事でSASLという言葉が出てきましたが，そういえばこれまでSASLについてあまり触れることがありませんでしたので，今回はOpenLDAPとSASLの関係についてお話ししておきます。

SASLとはSimple Authentication and Security Layerの略であり，簡単に言ってしまうと認証のためのフレームワークのようなものです。SASLを使用することにより，開発者は既存のライブラリや仕組みを再利用することができ，利用者にはチャレンジ・レスポンス認証などの安全な認証方式を提供することができます。

また，認証方式についてですが，SASLの中にはいくつかのメカニズムが用意されており，Kerberos，GSSAPI，DIGEST-MD5などいくつかの方式を利用することができるのですが，今回は検証環境の関係上，KerberosなどではなくDIGEST-MD5やCRAM-MD5を用いて安全な認証を実現します。

OpenLDAPとSASLの関係

たとえば，今まで通り-xオプションを使ったシンプル認証で

% ldapsearch -x -D “uid=nomo,ou=People,dc=example,dc=com" -w abc123 -b “dc=example,dc=com" "objectClass=*"

という検索を行う場合，クライアントからサーバに次のようなデータが送信されます。abc123という文字列が暗号化されていないことがわかるでしょうか（図1）。

図1　Wiresharkでパケットをキャプチャした様子

SASLを有効にすることで，前回の記事のAPOP同様，ネットワーク上に流れるパスワードを暗号化することができます。

それではさっそくSASLの設定です。/etc/openldap/slapd.confに以下を追記してslapdを再起動してください。

リスト1　slapd.confに追記する内容

sasl-regexp 
  uid=([^,]+),.*,cn=auth 
  uid=$1,ou=People,dc=example,dc=com 
password-hash {CLEARTEXT}

クライアント側からSASL認証が要求されると，LDAPサーバは認証時に与えられたユーザ名を用いて，

uid=ユーザ名,cn=<レルム>,cn=digest-md5,cn=auth 
（レルムが省略された場合はuid=ユーザ名,cn=digest-md5,cn=auth）

といったDNを生成します。ただし，実際にはこのようなエントリは存在しませんので，実際のDNにマッピングする設定が必要となります。そのための設定が

sasl-regexp 変換前DN 変換後DN

です。また，チャレンジ・レスポンス方式を使用する場合にはサーバ側に平文パスワード，または中間値が必要となりますので，エントリ中のuserPassword属性を常に平文で保存しておくため，

password-hash {CLEARTEXT}

を設定しています。この設定を行うことで

% ldappasswd -U nomo -w abc123 -Y digest-md5 -s hoge

のようにパスワードを変更しても，それがデフォルトのSSHA形式でなく常に平文状態で格納されるようになります。

エントリの登録

今回は

sasl-regexp    uid=([^,]+),.*,cn=auth    uid=$1,ou=People,dc=example,dc=com

という設定を行っているため，登録するエントリもuid=$1,ou=People,dc=example,dc=com に属している必要があります。

リスト2　サンプルエントリ

dn: dc=example,dc=c，om 
objectClass: dcObject 
objectClass: organization 
dc: example 
o: example 

dn: ou=People,dc=example,dc=com 
objectClass: organizationalUnit 
ou: People 

dn: uid=nomo,ou=People,dc=example,dc=com 
objectClass: inetOrgPerson 
sn: nomo 
cn: nomo 
uid: nomo 
userPassword: abc123

エントリを登録できたら，後は次のように-Uオプションと-Yオプションを使用した検索が可能となります。

% ldapsearch -U proxy -Y digest-md5 -b "dc=example,dc=com" "objectclass=*"

Wiresharkで確認してみても，平文パスワードは確認できず，サーバから発行されたチャレンジに基づきクライアントが毎回異なったレスポンスを返していることがわかります（図2）。

図2　パケットをキャプチャした様子

LDAP, OpenLDAP, SASL, SMTP Auth

中満英生（なかみつひでお）

大学時代に出会ったSolarisがきっかけでUNIXの世界へ。その後ホスティングプロバイダ，データセンターで実務経験を積む傍ら，雑誌記事の執筆や技術セミナーの講師を務める。サーバ設定の他，セキュリティに関する著作や技術者エッセイも執筆経験あり。

そろそろLDAPにしてみないか？

バックナンバー一覧

このエントリのトラックバック URI

お名前
メールアドレス
タイトル
コメント

多数の情報処理技術者試験対策書籍の発行実績を誇る技術評論社がお届けする，資格試験合格サイト「めざせ！情報処理試験パスサポ」が開設されました。

サクセスストーリーに続く，快適サーバー運用管理のヒント！: データの増大，煩雑な管理，システムダウン，セキュリティなど，迫りくる課題からシステム管理者の負担を軽くするポイントを解説します。
gihyo.jp インフラエンジニア情報局: ネットワークやITにかかわるあらゆる業種で必要とされるインフラエンジニアに向けた技術情報や心構え，その魅力について多角的に紹介。
テストエンジニアステーション: いま，ITに関わるあらゆる開発業務で注目されつつあるテスト系エンジニアをターゲットにしたコンテンツサイトを展開します。

※検索はページ右上の検索ボックスをご利用ください。

最新ソフトウェアプロテクションの導入方法（3/8～4/16）
Adobe FLASH PLATFORM CAMP Tokyo（3/16）
「組込みデータベースを利用した開発のポイントとDeviceSQLのご紹介」セミナー（3/17）

読むウェブ～本とインタラクション: ディスプレイで読む活字とそのインタラクション（interaction：相互作用）について，最新Webを紹介しながら読み解いていく。
いま，見ておきたいウェブサイト: この連載では，国内外の最新のウェブサイトを隔週更新で取り上げ，これら最新サイトの特徴や素晴らしい部分を，さまざまな角度から解説していきます。
Windows phoneアプリケーション開発入門: Windows Marcketplace for Mobileがサービス開始され，作成したアプリケーションを個人でも世界をターゲットに公開できる環境が整ってきました。これを機にWindows phoneアプリケーションの開発をしてみませんか？
ここは知っておくべき！Windows Server 2008技術TIPS: 5年ぶりのサーバOSとなったWindows Server 2008が出荷されて早2年。2009年にはR2が出荷され，再び注目を集めています。発売前から実施したトレーニングによって感じた，インフラエンジニアの方々に知っておいていただきたい機能を中心にご紹介します。
キーパーソンが見るWeb業界: 本連載はWeb Site Expert／gihyo.jpとの連動企画です。阿部淳也, 長谷川敦士, 森田雄のお三方による，Web業界をテーマにした座談会です。
きたみりゅうじの聞かせて珍プレー: ソフトウェア開発の現場で体験したトホホな失敗，思わずうなる珍プレーをきたみりゅうじ氏が四コママンガで紹介。みなさんからの投稿もお待ちしてます！
ActionScript 3.0で始めるオブジェクト指向スクリプティング: 野中文雄氏が，簡単なスクリプトは書いたことがあるという初級者を対象に，ActionScript 3.0の基本からクラス定義までを解説します。
まだ間に合う「ITパスポート」受験対策　原山先生の短期合格塾: この連載では，4月18日のITパスポート試験の受験に向けて，短い期間で効率良く受験対策を行う方法や，確実に得点するための裏ワザなどを伝授していきます。