RORが使用しているSVOMのバージョンが6.10以降かつ、7.10以前の場合、SVOMが使用するTLS/SSL通信について設定の変更が必要になります。連携対象のROR管理サーバ上で、以下の手順に従って変更を行ってください。
注意
変更を行うファイルについては、事前にバックアップを行ってください。
RORのマネージャーを停止します。
参照
停止方法については、RORのマニュアルを参照してください。
以下のファイルを編集します。
<SVOMのインストールフォルダー>\jboss\standalone\configuration\standalone.xml
XMLセクション<subsystem xmlns="urn:jboss:domain:web:1.1" …>を探して、XMLタグ<ssl …>に、属性cipher-suiteを以下のように追加してください。
【変更前】
<subsystem xmlns="urn:jboss:domain:web:1.1" default-virtual-server="default-host" native="false"> <configuration> <jsp-configuration x-powered-by="false" display-source-fragment="false"/> </configuration> <connector name="http" protocol="HTTP/1.1" scheme="http" socket-binding="http"/> <connector name="https" protocol="HTTP/1.1" scheme="https" socket-binding="https" secure="true"> <ssl name="https" password="changeit" certificate-key-file="../standalone/svconf/pki/keystore" verifyclient=" false"/> </connector> <virtual-server name="default-host" enable-welcome-root="false"/> </subsystem>
【変更後】
<subsystem xmlns="urn:jboss:domain:web:1.1" default-virtual-server="default-host" native="false"> <configuration> <jsp-configuration x-powered-by="false" display-source-fragment="false"/> </configuration> <connector name="http" protocol="HTTP/1.1" scheme="http" socket-binding="http"/> <connector name="https" protocol="HTTP/1.1" scheme="https" socket-binding="https" secure="true"> <ssl name="https" password="changeit" certificate-key-file="../standalone/svconf/pki/keystore" cipher-suite="
TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA,SSL_RSA_WITH_3DES_EDE_
CBC_SHA,SSL_RSA_WITH_RC4_128_MD5,TLS_EMPTY_RENEGOTIATION_INFO_SCSV,TLS_RSA_WITH_NULL_SHA256,SSL_RSA_WITH_NULL_SHA,S
SL_RSA_WITH_DES_CBC_SHA,SSL_RSA_WITH_NULL_MD5,SSL_RSA_EXPORT_WITH_RC4_40_MD5,SSL_RSA_EXPORT_WITH_DES40_CBC_SHA,TLS_
KRB5_WITH_RC4_128_SHA,TLS_KRB5_WITH_RC4_128_MD5,TLS_KRB5_WITH_3DES_EDE_CBC_SHA,TLS_KRB5_WITH_3DES_EDE_CBC_MD5,TLS_K
RB5_WITH_DES_CBC_SHA,TLS_KRB5_WITH_DES_CBC_MD5,TLS_KRB5_EXPORT_WITH_RC4_40_SHA,TLS_KRB5_EXPORT_WITH_RC4_40_MD5,TLS_
KRB5_EXPORT_WITH_DES_CBC_40_SHA,TLS_KRB5_EXPORT_WITH_DES_CBC_40_MD5" verify-client="false"/> </connector> <virtual-server name="default-host" enable-welcome-root="false"/> </subsystem>
注意
属性cipher-suiteを指定済の場合には、属性値に上記に記載された暗号スイート以外が含まれないよう修正してください。
以下のファイルを編集します。
<SVOMのインストールフォルダー>\opends\config\schema\02-config.ldif
"ds-cfg-administration-connector"のobjectClasses宣言で、MAY行を以下のように変更してください。
【変更前】
objectClasses: ( 1.3.6.1.4.1.26027.1.2.183 NAME 'ds-cfg-administration-connector' SUP top STRUCTURAL MUST ( cn $ ds-cfg-listen-port $ ds-cfg-key-manager-provider $ ds-cfg-trust-manager-provider $ ds-cfg-ssl-cert-nickname ) MAY ( ds-cfg-listen-address ) X-ORIGIN 'OpenDS Directory Server' )
【変更後】
objectClasses: ( 1.3.6.1.4.1.26027.1.2.183
NAME 'ds-cfg-administration-connector'
SUP top
STRUCTURAL
MUST ( cn $
ds-cfg-listen-port $
ds-cfg-key-manager-provider $
ds-cfg-trust-manager-provider $
ds-cfg-ssl-cert-nickname )
MAY ( ds-cfg-listen-address )
MAY ( ds-cfg-listen-address $ ds-cfg-ssl-cipher-suite $ ds-cfg-ssl-protocol )
X-ORIGIN 'OpenDS Directory Server' )以下のファイルを編集します。
<SVOMのインストールフォルダー>\opends\config\config.ldif
エントリー cn=LDAPS Connection Handler,cn=Connection Handlers,cn=configに対して、属性ds-cfg-ssl-cipher-suiteとds-cfg-ssl-protocolを以下のように追加します。
【変更前】
dn: cn=LDAPS Connection Handler,cn=Connection Handlers,cn=config objectClass: ds-cfg-ldap-connection-handler objectClass: top objectClass: ds-cfg-connection-handler ds-cfg-ssl-client-auth-policy: optional ds-cfg-key-manager-provider: cn=JKS,cn=Key Manager Providers,cn=config ds-cfg-ssl-cert-nickname: svs_cms ds-cfg-trust-manager-provider: cn=JKS,cn=Trust Manager Providers,cn=config ds-cfg-max-blocked-write-time-limit: 2 minutes ds-cfg-allow-tcp-reuse-address: true ds-cfg-allow-start-tls: false ds-cfg-send-rejection-notice: true ds-cfg-allow-ldap-v2: true cn: LDAPS Connection Handler ds-cfg-use-tcp-no-delay: true ds-cfg-enabled: true ds-cfg-java-class: org.opends.server.protocols.ldap.LDAPConnectionHandler ds-cfg-keep-stats: true ds-cfg-max-request-size: 5 megabytes ds-cfg-accept-backlog: 128 ds-cfg-buffer-size: 4096 bytes ds-cfg-listen-address: 0.0.0.0 ds-cfg-num-request-handlers: 2 ds-cfg-listen-port: 1474 ds-cfg-use-ssl: true ds-cfg-use-tcp-keep-alive: true
【変更後】
dn: cn=LDAPS Connection Handler,cn=Connection Handlers,cn=config objectClass: ds-cfg-ldap-connection-handler objectClass: top objectClass: ds-cfg-connection-handler ds-cfg-ssl-client-auth-policy: optional ds-cfg-key-manager-provider: cn=JKS,cn=Key Manager Providers,cn=config ds-cfg-ssl-cert-nickname: svs_cms ds-cfg-trust-manager-provider: cn=JKS,cn=Trust Manager Providers,cn=config ds-cfg-max-blocked-write-time-limit: 2 minutes ds-cfg-allow-tcp-reuse-address: true ds-cfg-allow-start-tls: false ds-cfg-send-rejection-notice: true ds-cfg-allow-ldap-v2: true cn: LDAPS Connection Handler ds-cfg-use-tcp-no-delay: true ds-cfg-enabled: true ds-cfg-java-class: org.opends.server.protocols.ldap.LDAPConnectionHandler ds-cfg-keep-stats: true ds-cfg-max-request-size: 5 megabytes ds-cfg-accept-backlog: 128 ds-cfg-buffer-size: 4096 bytes ds-cfg-listen-address: 0.0.0.0 ds-cfg-num-request-handlers: 2 ds-cfg-listen-port: 1474 ds-cfg-use-ssl: true ds-cfg-ssl-cipher-suite: SSL_DH_anon_EXPORT_WITH_RC4_40_MD5
ds-cfg-ssl-cipher-suite: SSL_DH_anon_WITH_RC4_128_MD5
ds-cfg-ssl-cipher-suite: SSL_RSA_EXPORT_WITH_RC4_40_MD5
ds-cfg-ssl-cipher-suite: SSL_RSA_WITH_NULL_MD5
ds-cfg-ssl-cipher-suite: SSL_RSA_WITH_NULL_SHA
ds-cfg-ssl-cipher-suite: SSL_RSA_WITH_RC4_128_MD5
ds-cfg-ssl-cipher-suite: SSL_RSA_WITH_RC4_128_SHA
ds-cfg-ssl-cipher-suite: TLS_ECDH_anon_WITH_NULL_SHA
ds-cfg-ssl-cipher-suite: TLS_ECDH_anon_WITH_RC4_128_SHA
ds-cfg-ssl-cipher-suite: TLS_ECDH_ECDSA_WITH_NULL_SHA
ds-cfg-ssl-cipher-suite: TLS_ECDH_ECDSA_WITH_RC4_128_SHA
ds-cfg-ssl-cipher-suite: TLS_ECDH_RSA_WITH_NULL_SHA
ds-cfg-ssl-cipher-suite: TLS_ECDH_RSA_WITH_RC4_128_SHA
ds-cfg-ssl-cipher-suite: TLS_ECDHE_ECDSA_WITH_NULL_SHA
ds-cfg-ssl-cipher-suite: TLS_ECDHE_ECDSA_WITH_RC4_128_SHA
ds-cfg-ssl-cipher-suite: TLS_ECDHE_RSA_WITH_NULL_SHA
ds-cfg-ssl-cipher-suite: TLS_ECDHE_RSA_WITH_RC4_128_SHA
ds-cfg-ssl-cipher-suite: TLS_KRB5_EXPORT_WITH_RC4_40_MD5
ds-cfg-ssl-cipher-suite: TLS_KRB5_EXPORT_WITH_RC4_40_SHA
ds-cfg-ssl-cipher-suite: TLS_KRB5_WITH_RC4_128_MD5
ds-cfg-ssl-cipher-suite: TLS_KRB5_WITH_RC4_128_SHA
ds-cfg-ssl-cipher-suite: TLS_RSA_WITH_NULL_SHA256 ds-cfg-ssl-protocol: SSLv2Hello
ds-cfg-ssl-protocol: SSLv3
ds-cfg-ssl-protocol: TLSv1 ds-cfg-use-tcp-keep-alive: true
注意
属性ds-cfg-ssl-cipher-suiteまたはds-cfg-ssl-protocolを指定済の場合には、上記に記載された暗号スイートまたは通信プロトコル以外の値が含まれないよう修正してください。
同じ設定ファイルで、エントリー dn: cn=Administration Connector,cn=config の属性ds-cfg-listen-addressを以下のように修正します。
【変更前】
dn: cn=Administration Connector,cn=config objectClass: ds-cfg-administration-connector objectClass: top ds-cfg-listen-address: 0.0.0.0 ds-cfg-listen-port: 4444 cn: Administration Connector ds-cfg-key-manager-provider: cn=Administration,cn=Key Manager Providers,cn=config ds-cfg-ssl-cert-nickname: svs_cms ds-cfg-trust-manager-provider: cn=Administration,cn=Trust Manager Providers,cn=config -manager-provider: cn=Administration,cn=Trust Manager Providers,cn=config
【変更後】
dn: cn=Administration Connector,cn=config
objectClass: ds-cfg-administration-connector
objectClass: top
ds-cfg-listen-address: 127.0.0.1
ds-cfg-listen-port: 4444
cn: Administration Connector
ds-cfg-key-manager-provider: cn=Administration,cn=Key Manager Providers,cn=config
ds-cfg-ssl-cert-nickname: svs_cms
ds-cfg-trust-manager-provider: cn=Administration,cn=Trust Manager Providers,cn=configRORを再起動します。以下のコマンドを実行してください。
net stop "SVJBASSVC" net start "SVJBASSVC"
RORのマネージャーを起動します。
参照
起動方法については、RORのマニュアルを参照してください。