LDAP クライアントでの SSL のセットアップ
LDAP クライアントで SSL を使用するには、AIX®DVD の第 2 巻に収録されている「idsldap.clt_max_crypto32bit64」および「idsldap.clt_max_crypto64bit64ファイルセットと、AIX®拡張パック DVD に収録されているGlobal Security Kit (GSKit)ファイルセットをインストールします。
SSL を LDAP サーバー上にセットアップした後、以下の手順に従ってください。
- gsk8capicmd コマンドまたは gsk8capicmd_64 コマンドを実行して、各クライアントに鍵データベースを生成する。 鍵データベースをクライアントごとに生成するときの詳細については、『C ベースの LDAP クライアント・システム (On the C-based LDAP client system)』セクション (『gskcapicmd ツール (The gskcapicmd tool)』トピック) を参照してください。
- サーバー証明書を各クライアントにコピーする。 サーバー SSL が自己署名証明書を使用している場合は、最初に証明書を抽出する必要があります。
- 各クライアント・システム上で gsk8capicmd コマンドまたは gsk8capicmd_64 コマンドを実行し、サーバー証明書を鍵データベースに追加する。
- SSL をクライアントごとに有効にするには、次のコマンドを実行する。
# mksecldap -c -h servername -a adminDN -p pwd -k /usr/ldap/etc/mykey.kdb -p keypwd鍵データベースのフルパスは /usr/ldap/etc/mykey.kdb で、鍵のパスワードは keypwd です。 鍵パスワードがコマンド・ラインに入力されないと、システムは、同じディレクトリーにあるスタッシュ (隠しておいた) パスワード・ファイルを使用します。 このスタッシュ・パスワード・ファイルは、拡張子 .sth が付いた、鍵データベースと同じ名前 (例えば mykey.sth) でなければなりません。