<LdapConfig>セクションには、少なくとも以下を含める必要があります。
- 1 <Service>
- 1 正規化、つまり1つの<Identity Map>または<Identity Search>要素
- 以下の構成要素をTdgssUserConfigFile.xmlに追加して、<LdapConfig>セクションを作成します。<LdapConfig>セクションは、<Mechanisms>セクションの直下、<Mechanisms>セクションと同じレベルに配置します。
例:
<LdapConfig> <Services> <Service ... </Service> <Service ... <Service ... </Service> </Services> <Canonicalizations> ... </Canonicalizations> </LdapConfig>
- オプションの<Tls>保護セクションを構成の最初の要素として追加します。このセクションは、構成されたすべてのサービスに対するグローバル デフォルトです。 例:
<LdapConfig> !-- The default TLS configuration goes here. --> <Tls LdapClientTlsCACertDir="/etc/ssl/certs" LdapClientTlsReqCert="allow" LdapClientTlsCACert="/etc/ssl/certs.pem" LdapClientTlsCert="/etc/ssl/certs/client.pem" LdapClientTlsKey="/etc/ssl/certs/key.pem" LdapClientTlsRandFile="/dev/rndom" LdapClientTlsCipherSuite="!LOW"/>
TLS要件がディレクトリ サービス間で異なる場合は、次のステップに示すように、TLSを<Service>ごとに個別に構成できます。 SSL/TLS保護オプションも参照してください。 サービスの設定は、グローバル設定を上書きします。 - ディレクトリ サービスごとに<Service>要素を構成します。 例:
<Service Id="svc.div1root" LdapServerName="ldap://div1root/ ldap://tdgss/ ldap://wave/" LdapBaseFQDN="dc=div1rootdom,dc=div1dev,dc=corp" LdapServiceFQDN="cn=div1root,ou=services,dc=div1rootdom, dc=div1dev,dc=corp" LdapSystemFQDN="cn=end2end,cn=tdat,dc=div1rootdom, dc=div1dev,dc=corp" LdapServicePassword="password" LdapClientUseTls="no" LdapClientMechanism="simple"> <!-- Overrides to the default TLS configuration go here. --> LdapClientTlsReqCert="demand" LdapClientTlsCert="/home/mycert"/> </Service> <Service ... </Service> </Services>
説明:
プロパティ 説明 Id="svc.div1root"
ディレクトリ サービスに固有の名前を付けます。 LdapServerName= ... LdapClientMechanism=
サイトのニーズに応じた、サービスに必要なLDAPプロパティのリスト。 デフォルト以外の値を持つプロパティのみを含める必要があります。LdapServicePassword="password" このプロパティをステップ4で作成した暗号化パスワードに設定します。 LdapClientTlsReqCert="demand" LdapClientTlsCert="/home/mycert"/>
このサービスについてのみ、オプションでTLSメインセクションのデフォルト値を上書きする値が含まれているTLSサブセクション。 - tdspasswdツールを使って、秘密鍵ファイル用の暗号化パスワードを生成します。
# tdspasswd -s svc.div1root Enter New password: Confirm New password: ASfb+l7norNgJHZZBufEmRS=
ここで、svc.div1rootはステップ3で示した<Service>構成のIdプロパティに指定した値です。
ツールのプロンプトが表示されたら、パスワードを入力します。ツールは、例えば、暗号化されたバージョンのパスワードを生成します: ASfb+l7norNgJHZZBufEmRS=
- 暗号化されたバージョンのパスワードをステップ3に示した構成でLdapServicePasswordプロパティの値として入力します。