識別ボールトをインストールする場合、LDAPサーバが監視するポートを指定して、LDAP要求を処理できるようにする必要があります。デフォルトの設定では、平文とSSL/TLSのポート番号として389と636が設定されます。
LDAP単純バインドでは、DNおよびパスワードのみが要求されます。パスワードは平文形式です。ポート389を使用する場合、すべてのパケットは平文形式です。ポート389では平文が使用できるため、LDAPサーバサービスではこのポートを通じてeDirectoryへの読み込みおよび書き込みを処理します。このポートの使用は開放性が高く、通信に妨害を受けることがなく、パケットが不正受信されない信頼性の高い環境に適しています。デフォルトでは、インストールの実行中にこのオプションは使用できません。
ポート636を通じた接続は暗号化されます。TLS(以前のSSL)によって暗号化が管理されます。ポート636への接続では、自動的にハンドシェークをインスタンス生成します。ハンドシェークが失敗した場合、接続は拒否されます。
メモ:インストールプログラムにより、TLS/SSL通信用にデフォルトでポート636が選択されます。この設定をデフォルトで選択することで、ローカルLDAPサーバに問題が発生する場合があります。eDirectoryがインストールされる前にホストサーバにロードされているサービスがポート636を使用している場合は、別のポートを指定する必要があります。eDirectory 8.7以前のインストールでは、この競合は致命的なエラーとみなされ、nldapはアンロードされます。eDirectory 8.7.3以降、インストールプログラムによってnldapがロードされ、dstrace.logファイルにエラーメッセージが記録されて、セキュリティ保護されたポートを使用せずに実行されます。
インストールプロセスで、平文パスワードおよび他のデータの使用を禁止するように識別ボールトを設定できます。[パスワードとの単純バインドにTLSを必要とする]オプションによって、閲覧可能なパスワードの送信ができないようになっています。この設定を選択しない場合、ユーザは別の人がパスワードを閲覧しても気が付きません。このオプションは接続を許可しないように設定するもので、平文ポートにのみ適用できます。ポート636に対してセキュリティ保護された接続を行い、単純バインドを実行する場合は、接続はその時点ですでに暗号化されています。このため、パスワード、データパケット、またはバインド要求を閲覧することはできません。
次のシナリオを検討します。
ユーザはパスワードを要求するクライアントを使用しています。パスワードを入力した後、クライアントはサーバに接続します。ただし、LDAPサーバでは平文ポートからサーバにバインドする接続は許可されていません。誰でもユーザのパスワードを見ることができますが、ユーザはバインド接続できません。
ローカルサーバでActive Directoryを実行しています。Active Directoryでは、ポート636を使用してLDAPプログラムを実行しています。eDirectoryをインストールします。インストールプログラムによってポート636がすでに使用されていることが検出されるため、NetIQ LDAPサーバにポート番号は割り当てられません。LDAPサーバはロードを開始し、実行されているように見えますが、。LDAPサーバではすでに開いているポートを複製または使用できないため、複製されたポートでの要求はLDAPサーバで処理されません。
ポート389またはポート636がNetIQ LDAPサーバに割り当てられているかどうかを確認するには、ICEユーティリティを実行します。[ベンダバージョン]フィールドにNetIQが指定されていない場合は、eDirectoryのLDAP Serverを再設定し、別のポートを選択する必要があります。詳細については、『NetIQ eDirectory 管理ガイド』の「LDAPサーバが実行されているか確認する」を参照してください。
Active Directoryが実行中であり、平文ポート389が開いている場合、ポート389にICEコマンドを実行し、ベンダーバージョンを問い合わせることができます。レポートにMicrosoft*が表示されます。次に、別のポートを選択してNetIQ LDAPサーバを再設定します。eDirectory LDAPサーバがLDAPの要求を処理できるようになります。
また、iMonitorでは、ポート389または636がすでに開かれているかどうかもレポートされます。LDAPサーバが動作していない場合、iMonitorを使用して、詳細を特定します。詳細については、『NetIQ eDirectory 管理ガイド』の「LDAPサーバが実行されているか確認する」を参照してください。