LDAP over SSLを有効にする
LDAP over SSL(LDAPS)を有効にして安全な接続を確保するには、証明書を信頼ストアにインポート します。 Okta LDAP Agentがインストールされているサーバーで、importコマンドを発行する必要があります。環境によって、以下の既知の制限があります。
- Ubuntu/Debian :アップグレード・パスはありません。 dpkg ツールで アンインストールと再インストールを実行し、 cacertsファイルを削除します。
- Centos :アップグレード・パスはありません。yum localupdate<パッケージ名>を発行すると、jreフォルダーが置き換えられ、 cacertsが削除されます。SSLを使用するようにサービスがすでに設定されている場合、サービスは開始できません。
- Windows :アップグレード・パスはありません。インストーラーでファイルを削除して再追加します。また、証明書ストアを 更新するときは、インストーラーを 実行する必要があります。インストーラーを キャンセルする と、C:\Okta\Okta LDAP Agentフォルダーの内容が削除されます。
keytoolsを使用する際は、必ず keystoreオプションを選択してください。
- ターミナルを開き、jre/binディレクトリーに移動します。
Linux
/opt/Okta/OktaLDAPAgent/jre/bin
Windows
C:\Program Files\Okta\Okta LDAP Agent\jre\bin
- LDAPSポートに接続して、お持ちの証明書がサーバーで使用している証明書であることを確認します。
openssl s_client -connect <IP of your LDAP server>:<your SSO port>
- SSL証明書をインポートします。デフォルトのパスワードの入力を求められたら、changeitと入力します。
./keytool -importcert -alias example.net.local -file /tmp/example.net.local.cer -keystore ../lib/security/cacerts
- キーストアの現在の内容を一覧表示します。
./keytool -list -keystore ../lib/security/cacerts
- Okta LDAP Agentのインストールを完了します。「Okta LDAP Agentをインストールして構成する」を参照してください。