Sametime コミュニティー と LDAP 間の接続を保護する

LDAP サーバーに接続するように Sametime を構成すると、Sametime Community Server は LDAP サーバーに対する 5 つの個別の接続を作成します。

このタスクについて

Sametime Community Server は、次の 5 つのタスクを実行するために、各 LDAP サーバーに対して個別に接続します。
  • ユーザーを認証する
  • ログイン手順の一部としてユーザー名を識別名に解決する
  • ユーザー名やグループ名を解決する (例えば、Sametime Connect Client からの [ユーザー/グループの追加] 要求に応答して)
  • ディレクトリを参照する
  • 公開グループのメンバーを取得する

Sametime Community Server および LDAP サーバーは、これらの接続を介して、ユーザー名やパスワードを含むディレクトリ情報を交換します。情報のセキュリティを確保するために、管理者は、これらの接続を介して渡されるデータを SSL によって暗号化できます。管理者は、SSL を有効にする前に、必要な保護レベルを検討する必要があります。SSL を使用して接続を暗号化すると、サーバーのパフォーマンスが低下することがあります。

SSL を使用して、Sametime と LDAP サーバー間の送信データを暗号化する場合、次のいずれかのオプションを選択できます。
  • [すべてのデータを暗号化する] - このオプションを使用すると、Sametime コミュニティー・サーバー と LDAP サーバー間で転送されるすべてのディレクトリ情報 (ユーザー名とパスワードの両方) が暗号化されます。すべてのデータを暗号化した場合は、Sametime Community Server と LDAP サーバー間の 5 つの接続すべてが SSL によって暗号化されます。このオプションを使用すると、最大レベルのセキュリティが確保されますが、サーバーのパフォーマンスに与える影響も最も大きくなります。
  • [ユーザーパスワードのみを暗号化する] - パスワードは暗号化しますが、Sametime コミュニティー・サーバー と LDAP サーバーとの接続を介して渡されるその他のディレクトリ情報 (ユーザー名など) は暗号化しません。ユーザーパスワードのみを暗号化した場合は、Sametime サーバーと LDAP サーバー間の「ユーザー認証」接続のみが SSL によって暗号化されます。このオプションを使用すると、中間レベルのセキュリティが確保され、すべてのデータを暗号化する場合よりも、サーバーのパフォーマンスに与える影響は小さくなります。
  • [データを暗号化しない] - Sametime サーバーと LDAP サーバー間で、すべてのディレクトリ情報とパスワードを暗号化せずに受け渡します。このオプションは、サーバーのパフォーマンスに影響を与えないので、管理者が Sametime サーバーと LDAP サーバーの接続を介して送信される情報を認証されていないユーザーが傍受できないと考える場合に効果的に使用できます。これはデフォルト設定です。データを暗号化しない場合は、追加のステップは不要です。
  • Sametime Userinfo サーブレットと LDAP 間の接続を SSL を使用して暗号化する - このオプションを使用すると、ビジネス・カード・データの通信が保護されます。

前提条件:

.p12 形式または .jks 形式で TLS トラスト・ストアが既に作成されている必要があります。

Sametime LDAP でサーバーの残りの部分と同じ TLS 設定を使うように設定するには、グローバル・スコープで設定を行います。または、個別の TLS スコープの手順に従い、接頭語 STLDAP_ を使用して、独自の鍵ストアと設定を使うことで LDAP 設定を保護できます。以下のいずれかのトピックを実行して、sametime.ini 設定を構成する必要があります。 

手順

上述のようにすべてのデータを暗号化するには、次の手順を実行します。

LDAP サーバーの証明書をトラスト・ストアにインポートする

LDAP サーバーが公開証明書を使用している場合、公開ルート CA を取得して Sametime サーバーのトラスト・ストアにインポートする必要があります。ご使用の LDAP サーバーが自己署名証明書を使用している場合は、単に自己署名証明書をインポートします。前提条件のトピックでは、トラスト・ストアのファイル名は sametime.ini 設定「ST_TLS_TRUST_STORE_FILE」、または個別のスコープを使用している場合は「STLDAP_TLS_TRUST_STORE_FILE」で定義されています。グローバル・スコープを使用して Sametime を保護する場合は、LDAP 接続で同じキーとトラスト・ストアを使用でき、これらの sametime.ini パラメーターは不要です。

セキュア LDAP 設定を使用するように stconfig.nsf を更新する

トピック『 LDAPServer Document の構成』を参照し、以下を実行します。
  • 「接続」設定を保護された LDAP ポート (通常は 636) に設定します。
  • 「SSL 有効化」 フィールドを true に設定します。

userinfoconfig.xml を更新して、セキュアな LDAP 設定を使用する

デフォルトでは、ビジネス・カードの LDAP 接続は非セキュアです。これらの設定を保護するには、トピック『LDAP ディレクトリを使用したビジネスカードの構成』を参照し、オプションのステップ「暗号化の有効化」を実行します。

パスワード関連の操作のみを暗号化する

パスワードに関係する操作のみを暗号化し、残りのトラフィックは暗号化しない (クリア・テキストで送信する) 場合、以下の手順を実行します。
  1. Sametime Community Server にリモート接続します。
  2. テキスト・エディター (Domino プログラムのディレクトリーにあります) を使用して sametime.ini ファイルを開きます。
  3. 「Directory」セクションに次の行を追加します。

    ST_DB_LDAP_SSL_ONLY_FOR_PASSWORDS=1

  4. sametime.ini ファイルを保存して閉じます。
  5. Sametime サーバーを再起動して変更を有効にします。