OpenVMS マニュアル

≫

OpenVMSマニュアル
ライブラリ


≫	タイトルページ
≫	目次
≫	まえがき
	第1部：新機能
≫	第1章：V8.4の新機能概要
≫	第2章：一般ユーザ機能
≫	第3章：仮想化機能
≫	第4章：性能の強化
≫	第5章：耐障害性およびクラスタ機能
≫	第6章：ストレージ・デバイスとI/Oのサポート
≫	第7章：セキュリティ機能
≫	第8章：システム管理機能
≫	第9章：プログラミング機能
≫	第10章：関連製品の新機能
	第2部：英文ドキュメント
≫	第11章：ドキュメントの概要
≫	第12章：ドキュメントの提供形態
≫	第13章：マニュアルの説明
≫	索引


	PDF


≫	OpenVMS ホーム

HP OpenVMS
V8.4 新機能説明書

索引

第 7 章
セキュリティ機能

この章では，OpenVMS オペレーティング・システムのセキュリティに関する新機能について説明します。

7.1 HP SSL Version 1.4 for OpenVMS の機能

SSL (Secure Sockets Layer)は，機密情報をインターネットで安全に転送するための標準に準拠したオープンなセキュリティ・プロトコルです。 HP SSL Version 1.4 は OpenSSL 0.9.8h がベースになっており， OpenSSL.org から提供されている最新のセキュリティ・アップデートも含まれています。 SSL V1.4 には以下の新機能が追加されています。

PKCS-12 ファイルのサポート
CMS のサポート
新しい暗号 Camellia のサポート
この新しい暗号には次の機能が含まれてます。
- 新しい暗号化アルゴリズム
- 128 ビットのブロックサイズのサポート
- 128 ビット，192 ビット，および 256 ビットのキー長のサポート
- RFC 3657，3713，4051，および 4132 のサポート
韓国の対称 128 ビット暗号 SEED のサポート
DTLS (Datagram Transport Layer Service) のサポート
RSA PSS (Probabilistic Signature Scheme) 暗号化のサポート
ECC (Elliptical Curve Cryptography) のアップデート
FIPS (Federal Information Processing Standards) 180-2 アルゴリズム SHA224，SHA256，SHA384，および SHA512 のサポート

SSL V1.4 には以下のセキュリティ・パッチが含まれています。

CVE-2008-5077 - Incorrect checks for malformed signatures
CVE-2009-0590 - ASN1 printing crash
CVE-2009-0591 - Incorrect error checking during CMS verification
CVE-2009-0789 - Invalid ASN1 clearing check
CVE-2009-3245 - bn_wexpand function call does not check for a NULL return value

これらの機能の詳細については，『HP SSL Version 1.4 for OpenVMS Installation Guide and Release Notes』を参照してください。

7.2 LDAP ユーザのグローバル・マッピングおよびローカル・マッピング

OpenVMS Version 8.3 および Version 8.3-1H1 では， ACME LDAP エージェントの認証方法は各ユーザに対して 1 対 1 マッピングのみサポートしていました。

1 対 1 マッピングでは， LDAP サーバから OpenVMS システムへログインするには，一致するユーザ名が SYSUAF.DAT ファイルに存在することが必要でした。このため，ユーザは SYSUAF.DAT ファイルに保管されているユーザ名エントリと正確に一致するユーザ名でログインする必要がありました。

OpenVMS Version 8.4 以降では，LDAP ACME エージェントにグローバル・マッピングおよびローカル・マッピングの概念が適用されます。

グローバル・マッピングおよびローカル・マッピングを使用する場合，次のような動作が適用されます。

ユーザは，そのドメインで共通のユーザ名をログイン・プロンプトで入力することができます。
ユーザ名は，ログイン時に SYSUAF.DAT ファイル内の別の名前にマッピングされます。
ログイン後の OpenVMS セッションは，SYSUAF.DAT にあるその名前と特権を使用します。
SET PASSWORD コマンドはマッピングされているユーザであることを認識すると共に，ディレクトリ・サーバに対するパスワード変更と同期を取ることができます。

グローバル・マッピングでは，ユーザのログイン名はディレクトリ・サーバに保管されているいくつかの属性をもとにマッピングされます。ローカル・マッピングでは， LDAP ユーザ名 (そのドメインにおけるそのユーザの名前) と SYSUAF.DAT における名前を .CSV 形式で保管するのにテキスト・データベース・ファイルが使用されます。

グローバル・マッピングおよびローカル・マッピングを有効にするには，以下の属性を LDAP INI ファイルに追加する必要があります (SYS$HELP:LDAPACME$README-STD.TXT を参照)。

属性	説明
mapping	そのマッピングがグローバルであるかローカルであるかを指定します。次のいずれかのオプションを指定します。 Server Local 以下に例を示します。 `mapping=server` そのユーザに対してグローバル・マッピングが有効になっていることを指定します。 `mapping=local` そのユーザに対してローカル・マッピングが有効になっていることを指定します。 `mapping` 指示文を使用していない場合，マッピングは 1 対 1 になります。
mapping_attribute	この指示文はグローバル・マッピングに対して適用されます。ユーザ・マッピングに使用されているディレクトリ・サーバ上の属性に対し，この指示文を設定します。以下に例を示します。 `mapping_attribute` を次のように使用して，ディレクトリ・サーバのユーザに対して description フィールドを参照させることができます。 `mapping_attribute=description` ディレクトリ・サーバ上にマッピングのための属性を新しく作成することもできます。この場合，属性は IA5 多値文字列でなければなりません。
mapping_target	この指示文は，グローバル・マッピングに対して適用されます。 `mapping_target` は，ディレクトリ・サーバの `mapping_attribute` フィールドの値で検索されます。以下に例を示します。 LDAP INI ファイルが次の属性を持っていると仮定します。 mapping_attribute=description mapping_target= VMSUsers.hp.com ディレクトリ・サーバの "description" 属性が VMSUsers.hp.com/jdoe で存在すると仮定します。 ACME LDAP エージェントは "VMSUsers.hp.com/jdoe" で検索を行い， "VMSUsers.hp.com/" の部分を探します (mapping_target の前にはスラッシュ (/) が付きます)。値の残りの部分 "jdoe" は，SYSUAF.DAT ファイルにあるユーザ名として認識されます。多値文字列属性が使用される場合， "VMSUsers.hp.com/jdoe" は多値文字列の配列要素の 1 つでなければなりません。
mapping_file	この指示文はローカル・マッピングに対して適用されます。マッピング・ユーザを検索するテキスト・データベース・ファイルのパス指定は，この属性で終わります。テンプレート・ファイルは SYS$STARTUP:LDAP_LOCALUSER_DATABASE.TXT_TEMPLATE に存在します。このファイルには LDAP ユーザ名と VMS ユーザ名をコンマで区切って記述します。 LDAP ユーザは，そのドメインにおけるユーザの名前です(ログイン時にユーザ名プロンプトで入力する名前です)。データベース・ファイルの内容を周知させロードする方法については， SYS$STARTUP:LDAP_LOCALUSER_DATABASE.TXT_TEMPLATE を参照してください。

グローバル・マッピングの例

John Doe と Joe Hardy の 2 人の属性が Active ディレクトリのユーザ・プロファイルに次にように指定されているとします。

DN: cn=john doe,...
samaccountname: John Doe
description: VMSUsers.hp.com/jdoe

DN: cn=jhardy,...
samaccountname: jhardy
description: VMSUsers.hp.com/jhardy

SYSUAF.DAT ファイルでは，ユーザ名は "jdoe" および "jhardy" です。

グローバル・マッピングは次のように行います。

SYS$STARTUP:LDAPACME$CONFIG-STD.INI ファイルの属性を他の必須属性と共にアップデートします。
mapping = server mapping_attribute = description mapping_target = VMSusers.hp.com
ACME サーバを再起動します。
SET SERVER ACME/RESTART
ユーザ名 "John Doe" に対しログイン名 "John Doe" を使用してホスト・システムにログインします。 (この名前には途中にスペースが含まれるため，ユーザ名プロンプトでは名前を引用符で囲む必要があります。)
他のユーザに対しては，ログイン名 jhardy を使用してホスト・システムにログインします。

ローカル・マッピングの例

ユーザ John Doe および Joe Hardy の 2 人の属性が Active ディレクトリのユーザ・プロファイルに次にように指定されているとします。

DN: cn=john doe,...
samaccountname: John Doe

DN: cn=jhardy,...
samaccountname: jhardy

OpenVMS システム上で SYS$STARTUP:LDAP_LOCALUSER_DATABASE.TXT_TEMPLATE をコピーして SYS$STARTUP:LDAP_LOCALUSER_DATABASE.TXT の名前でファイルを作成します。
SYS$STARTUP:LDAP_LOCALUSER_DATABASE.TXT を編集して LDAP ユーザ名と VMS ユーザ名をコンマで区切って記述します。 LDAP ユーザ名にスペース，コンマ，あるいは感嘆符などの特殊文字が含まれている場合は引用符で囲みます。以下に例を示します。
"JOHN DOE",JDOE
JHARDY,JHARDY
次のように SYS$STARTUP:LDAPACME$CONFIG-STD.INI ファイルの属性をその他の必須属性と共に変更します。
mapping = local mapping_file = SYS$COMMON:[SYS$STARTUP]LDAP_LOCALUSER_DATABASE.TXT
以下のいずれかの方法で新しいデータベース・ファイルをロードします。
- ACME サーバを再起動します:
  $ SET SERVER ACME/RESTART
- LDAP_LOAD_LOCALUSER_DATABASE.EXE を使用します。
  $ load_localuser_db:=="$SYS$SYSTEM:LDAP_LOAD_LOCALUSER_DATABASE.EXE" $ load_localuser_db SYS$COMMON:[SYS$STARTUP]LDAP_LOCALUSER_DATABASE.TXT
ログイン "John Doe" および jhardy を使用してホスト・システムにログインします。

7.2.1 制限事項

マップされたユーザに対しては SSH ログインはサポートされていません。
DECnet COPY などの DECnet 操作を行う場合は， SYSUAF.DAT ファイルに存在するユーザ名とパスワードを使用する必要があります。
以下のような場合は "SYSTEM" アカウントはマップされません。
- ユーザ名プロンプトでユーザが "SYSTEM" と入力した場合，そのユーザは SYSUAF.DAT の "SYSTEM" アカウントにのみマップされます。
- いずれかのユーザを SYSTEM にマッピングした場合，たとえば "johnd" が SYSUAF.DAT の "SYSTEM" アカウントにマッピングされた場合，実際にはこのマッピングは実行されずユーザはログイン・プロンプトで操作エラーに遭遇することになります。

索引


© 2012 Hewlett-Packard Development Company, L.P.

OpenVMS マニュアル