セキュア LDAP (LDAPS) の使用可能化

ご使用の LDAP サーバーが SSL を介した LDAP (LDAPS) をサポートしている場合は、Build Forge の LDAP ドメイン項目でも LDAPS を使用するように構成することができます。 デフォルトでは、厳格な SSL が構成されます。 厳格な SSL では、サーバー認証が必要になります。
  1. Build Forge で LDAP ドメイン項目を作成します。
  2. 「プロトコル」プロパティーを LDAPS に設定します。 これにより、LDAPS の暗号化専用方式が有効になります。
  3. 「ホスト」を、ご使用の LDAP サーバーの完全修飾ドメイン・ネームおよび SSL ポートに設定します。 厳格なセキュア LDAP のデフォルトとして定義されているのは、ポート 636 です。 例えば、myldap.mycompany.com:636 などです。
  4. LDAP サーバーから署名者証明書を取得し、それを Build Forge のトラストストアに追加します。 「管理」 > 「セキュリティー」で、アウトバウンド LDAP は次の設定を使用するようにデフォルトで構成されています。
    • SSL パネル: デフォルト JSSE アウトバウンド SSL
    • 鍵ストア・パネル: デフォルト JSSE トラストストア。 このトラストストアは、デフォルトで <bfinstall>/keystore/buildForgeTrustStore.p12 を使用するように設定されています。 署名者証明書をここに置きます。
  5. Build Forge を再始動します。
  6. 「管理」 > 「セキュリティー」と進み、ご使用のセキュア LDAP 構成を選択します。
  7. 「接続のテスト」をクリックします。
注: Build Forge では、デフォルトで厳格な LDAPS SSL が構成されます。 厳格な構成では、サーバー証明書の検証が必要です。 厳格な LDAP を使用しない場合は、次のようにします。
  1. JAVA_OPTS 環境変数で、Tomcat のシステム・プロパティー-Dcom.buildforge.services.server.ldap.strict=false を設定します。 Tomcat のスクリプトはこの変数を読み取り、指定されたすべてのシステム・プロパティーを Tomcat プロセスに適用します。
  2. Build Forge を再始動します。

この構成では、LDAP のサーバー証明書を Build Forge のトラストストアに追加する必要はありません。 ただし、この構成は、SSL プロトコル設計の脆弱な実装です。 Build Forge は、LDAP サーバーとの通信中に LDAP サーバーの ID を検査しません。


フィードバック