LDAP.CONF

名前

所在

説明

ldap.conf は、 ldap クライアントの動作時に適用されるシステムワイドのデフォルト値を 設定するために利用されます。

ユーザは、自分のホームディレクトリにオプションの設定ファイル ldaprc か .ldaprc を用意することにより、システムワイドのデフォルトファイルに優先した 設定を行えます。 カレント作業ディレクトリに ldaprc ファイルを置いても同じ効果があります。

さらに、環境変数 LDAPCONF と LDAPRC を用いて追加の 設定ファイルを指定できます。LDAPCONF には設定ファイルの パスを設定します。このパスは、絶対パスにもカレント作業ディレクトリ からの相対パスにもできます。LDAPRC に定義したものは、 カレント作業ディレクトリあるいはユーザのホームディレクトリにある ファイルのベースネーム(ファイル名からディレクトリを取り除いたもの) とみなします。

環境変数はファイルベースのデフォルト値を設定するのにも利用できます。 環境変数の名前は以下に列挙したオプションに接頭辞 LDAP を つけたものになります。たとえば環境変数で BASE を定義するには、 変数 LDAPBASE を望む値に定義します。

以下のオプションの中には、ユーザ環境でのみ設定できるものがあります。 そのようなオプションを ldap.conf (あるいは LDAPCONF で指定したファイル)に与えても無視されます。  

オプション

URI <ldap[s]://[name[:port]] ...>

LDAP ライブラリが接続する LDAP サーバの URI を指定します。 URI スキームには ldap または ldaps が使え、それぞれ LDAP over TCP と LDAP over SSL (TLS) を表します。 各サーバ名にはドメインスタイルの名前か IP アドレスを指定できます。 オプションでサーバ名の後に付けた ':' に続けてサーバが受け付ける ポート番号を指定できます。ポート番号を指定しない場合、スキーム ごとのデフォルトが使われます(ldap:// なら 389, ldaps:// なら 636)。 複数の URI を指定する場合にはスペースで区切ります。

BASE <base>

ldap 操作を行うときに使うデフォルトのベース DN を指定します。 このベース名は LDAP フォーマットにおける識別名として指定しなければなりません。

BINDDN <dn>

ldap 操作を行うときに使うデフォルトのバインド DN を指定します。 このバインド DN 名は LDAP フォーマットにおける識別名として 指定しなければなりません。これはユーザ環境でしか設定できません。

HOST <name[:port] ...>

LDAP ライブラリが接続する LDAP サーバの名前を指定します(複数指定可)。 各サーバの名前は、ドメインスタイルの名前か IP アドレスの後に オプションで ':' と ldap サーバのポート番号をつけて指定します。 複数のサーバを指定するにはスペースで区切ってホストを並べます。 HOST の利用は URI がサポートされたので推奨しません。

PORT <port>

LDAP サーバへの接続で使うポートを指定します。 ポートは数値で指定します。 PORT の利用は URI がサポートされたので推奨しません。

REFERRALS <on/true/yes/off/false/no>

LDAP サーバから返る紹介にクライアントが自動的に従うかを指定します。 デフォルトは on です。 コマンドラインツール ldapsearch(1) では、常にこのオプションを off にします。

SIZELIMIT <integer>

検索を行うときに適用するサイズ制限を指定します。 この値は非負整数で指定します。SIZELIMIT がゼロ(0)ならば、 無制限の検索サイズを指定したことになります。

TIMELIMIT <integer>

検索を行うときに適用する時間制限を指定します。 この値は非負整数で指定します。TIMELIMIT がゼロ(0)ならば、 無制限の検索時間を指定したことになります。

DEREF <when>

エイリアスの実名参照をどのように行うかを指定します。 引数 <when> には次のキーワードのいずれかを指定できます。

never

エイリアスは実名参照されません。これはデフォルトです。

searching

検索においてベースオブジェクトの下位についてはエイリアスが実名参照 されますが、検索のベースオブジェクトは実名参照されません。

finding

検索のベースオブジェクトのみでエイリアスが実名参照されます。

always

検索と検索のベースオブジェクトの両方でエイリアスが実名参照されます。

SASL オプション

SASL_MECH <mechanism>

利用する SASL 機構を指定します。 これはユーザ環境でのみ設定できます。

SASL_REALM <realm>

SASL レルムを指定します。 これはユーザ環境でのみ設定できます。

SASL_AUTHCID <authcid>

認証 ID を指定します。 これはユーザ環境でのみ設定できます。

SASL_AUTHZID <authcid>

代理認可 ID を指定します。 これはユーザ環境でのみ設定できます。

SASL_SECPROPS <properties>

Cyrus SASL のセキュリティプロパティを指定します。 <properties> には次にあげるプロパティをカンマで区切って指定できます。

none

(他のプロパティ指定がなければ) プロパティをデフォルト("noanonymous,noplain")にクリアします。

noplain

単純な passive attack に弱い機構を無効にします。

noactive

active attack に弱い機構を無効にします。

nodict

passive dictionary attack に弱い機構を無効にします。

noanonymous

匿名ログインをサポートする機構を無効にします。

forwardsec

セッション間の forward secrecy を要求します。

passcred

クライアントの身元証明を渡す機構を要求します (そして身元証明を渡せる機構がそうすることを可能にします)。

minssf=<factor>

最小の受け入れ可能な security strength factor を暗号のための有効キー長に近い整数値で指定します。 0 (ゼロ)は暗に保護無しを意味します。1 は暗に整合性の保護だけを意味します。 56 は DES あるいは他の弱い暗号化方式を有効にします。 112 は triple DES あるいは他の強い暗号化方式を有効にします。 128 は RC4, Blowfish, 他の現代的な強い暗号化方式を有効にします。 デフォルトは 0 です。

maxssf=<factor>

最大の受け入れ可能な security strength factor を整数値で指定します(minssf の説明を参照)。 デフォルトは INT_MAX です。

maxbufsize=<factor>

セキュリティ層の受信バッファの最大サイズを指定します。 これが 0 ならばセキュリティ層は無効になります。 デフォルトは 65536 です。

TLS オプション

TLS_CACERT <filename>

クライアントが認めるすべての認証局の証明書を含んだファイルを指定します。

TLS_CACERTDIR <path>

認証局の証明書が個々のファイルに分けて置かれているディレクトリのパスを 指定します。 TLS_CACERT は常に TLS_CACERTDIR の前に使われます。

TLS_CERT <filename>

クライアント証明書のファイルを指定します。 これはユーザ環境でのみ設定できます。

TLS_KEY <filename>

TLS_CERT で指定したファイルに格納されている証明書に対応する 私有鍵のファイルを指定します。 現在のところ私有鍵はパスワードで保護してはならないので、 このファイルを注意深く保護することが極めて重要です。 これはユーザ環境でのみ設定できます。

TLS_CIPHER_SUITE <cipher-suite-spec>

どの暗号化方式をどのような優先順位で受け付けるかを設定します。 <cipher-suite-spec> は OpenSSL の暗号化方式の指定方法に基づきます。 たとえば HIGH:MEDIUM:+SSLv2 などと指定します。

TLS_RANDFILE <filename>

/dev/[u]random が利用できないときに乱数を取得するファイルを指定します。 一般には EGD/PRNGD ソケットの名前を設定します。 このファイル名を設定するのには環境変数 RANDFILE も使えます。

TLS_REQCERT <level>

TLS セッション開設時にサーバ認証をどうするかを指定します。 引数の <level> には次のキーワードのいずれかを指定できます。

never

クライアントはサーバ証明書を求めません。

allow

サーバ証明書が要求されます。 証明書が与えらていない場合でもセッションは普通に継続します。 不適当な証明書が与えられた場合でもセッションは普通に継続します。

try

サーバ証明書が要求されます。 証明書が与えらていない場合でもセッションは普通に継続します。 不適当な証明書が与えられた場合はセッションをすぐに切断します。

demand | hard

これらのキーワードは同じ意味を持ちます。 サーバ証明書が要求されます。証明書が与えらていない場合、 あるいは不適当な証明書が与えられた場合はセッションをすぐに切断します。 これはデフォルトの設定です。

TLS_CRLCHECK <level>

クライアント証明書が失効しているかを確認するために、 CA の証明書失効リスト(Certificate Revocation List: CRL)を使うかを指定します。 これを指定するには TLS_CACERTDIR パラメータの設定が必要です。 <level> には次のキーワードのいずれかを指定します。

none

CRL 検証を行わない

peer

ピア証明書の CRL を検証

all

証明書パス全体を検証

環境変数

LDAPNOINIT

すべてのデフォルト設定を無効化

LDAPCONF

設定ファイルのパス

LDAPRC

$HOME または $CWD にある ldaprc ファイルのベース名

LDAP<option-name>

ldap.conf のオプション <option-name> を設定

関連ファイル

/usr/local/etc/openldap/ldap.conf

システムワイドな ldap 設定ファイル

$HOME/ldaprc, $HOME/.ldaprc

ユーザの ldap 設定ファイル

$CWD/ldaprc

ローカル ldap 設定ファイル

関連項目

作者

謝辞

和訳

Index

名前

所在

説明

オプション

SASL オプション

TLS オプション

環境変数

関連ファイル

関連項目

作者

謝辞

和訳