LDAP over SSLを有効にする

LDAP over SSL(LDAPS)を有効にして安全な接続を確保するには、証明書を信頼ストアにインポートします。Okta LDAP Agentがインストールされているサーバーで、importコマンドを発行する必要があります。環境によって、以下の既知の制限があります。

  • [Ubuntu/Debian]:アップグレードパスはありません。[dpkg]ツールでアンインストールと再インストールを実行し、[cacerts]ファイルを削除します。
  • [Centos]:アップグレードパスはありません。yum localupdate <package name> を発行すると、[jre]フォルダが置き換えられ、[cacerts]が削除されます。SSLを使用するようにサービスがすでにセットアップされている場合、サービスは開始できません。
  • [Windows]:アップグレードパスはありません。インストーラーでファイルを削除して再追加します。また、証明書ストアを更新するときは、インストーラーを実行する必要があります。インストーラーをキャンセルすると、C:\Okta\Okta LDAP Agentフォルダの内容が削除されます。

Linux

キーツールを使用する際は、必ずキーストアオプションを選択してください。

  1. ターミナルを開き、jre/binディレクトリに移動します。

    /opt/Okta/OktaLDAPAgent/jre/bin

  2. 任意。LDAPSポートに接続して、お持ちの証明書がサーバーで使用している証明書であることを確認します。

    openssl s_client -connect <IP of your LDAP server>:<your SSO port>

  3. SSL証明書をインポートします。デフォルトのパスワードの入力を求められたら、changeitと入力します。

    ./keytool -importcert -alias example.net.local -file /tmp/example.net.local.cer -keystore ../lib/security/cacerts

  4. キーストアの現在の内容を一覧表示します。

    ./keytool -list -keystore ../lib/security/cacerts

  5. configure_agent.shスクリプトを実行してエージェントの構成を終了します。

Windows

キーツールを使用する際は、必ずキーストアオプションを選択してください。

  1. ターミナルを開き、jre/binディレクトリに移動します。

    C:\Program Files\Okta\Okta LDAP Agent\jre\bin

  2. 任意。LDAPSポートに接続して、お持ちの証明書がサーバーで使用している証明書であることを確認します。

    openssl s_client -connect <IP of your LDAP server>:<your SSO port>

  3. SSL証明書をインポートします。デフォルトのパスワードの入力を求められたら、changeitと入力します。

    ./keytool -importcert -alias example.net.local -file /tmp/example.net.local.cer -keystore ../lib/security/cacerts

  4. キーストアの現在の内容を一覧表示します。

    ./keytool -list -keystore ../lib/security/cacerts

  5. Okta LDAP Agentのインストールを完了します。「Okta LDAP Agentをインストールして構成する」を参照してください。

  6. configure_agent.shスクリプトを実行してエージェントの構成を終了します。