Windows Server：Active Directoryドメイン コントローラーでSecure Lightweight Directory Access Protocol(LDAPS)を有効にする方法

ライトウェイト ディレクトリ アクセス プロトコル (LDAP) は、Active Directory Domain Servicesのコア プロトコルの 1 つです。セキュアLDAP(LDAPSまたはLDAP over SSLまたはTLS)は、暗号化によってLDAP通信を保護する手段を提供します。
 
DCでLDAPSを使用するには、DCに適切な証明書を生成してインストールする必要があります。証明書要求のテンプレートとして、次のものを使用できます。

 

;----------------- request.inf -----------------

[Version]

Signature="$Windows NT$

[NewRequest]

Subject = "CN=<DC_fqdn>" ; replace with the FQDN of the DC
KeySpec = 1
KeyLength = 1024
; Larger key sizes (2048, 4096, 8192, or 16384)
; can also be used. They are more secure but larger
; sizes have a greater performance impact.
Exportable = TRUE
MachineKeySet = TRUE
SMIME = False
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = PKCS10
KeyUsage = 0xa0

[EnhancedKeyUsageExtension]

OID=1.3.6.1.5.5.7.3.1 ; Server Authentication

;-----------------------------------------------

LDAPS証明書を生成するには、上記のテキストをメモ帳にコピーします。[件名] 行の<DC_fqdn>を、証明書がインストールされている DC の完全修飾ドメイン名 (dc1.ad.domain.com など) に変更します

認証局(CA)によっては、次の情報の一部またはすべてが必要になる場合もあります。

• Eメール アドレス(E)
• 組織単位(OU)
• 組織名(O)
• 市区町村(L)
• 都道府県(S)
• 国または地域(C)

これらの情報はすべて、次の例のように件 名 行に追加できます。

Subject="E=user@domain.com, CN=dc1.ad.domain.com, OU=Information Technology, O=Company, L=Anywhere, S=Kansas, C=US"

テキスト ファイルの名前を request.inf として保存し、次のコマンドを実行します。 certreq -new request.inf request.req コマンド プロンプトから。これにより、テキスト ファイルで提供された情報を使用して 、request.req という名前の証明書要求が生成されます。

要求が生成されたら、CA に送信する必要があります。送信手順はCAによって異なるため、ここに記載することはできません

証明書は CA によって生成され、DC にダウンロードする必要があります。ダウンロード手順も異なりますが、証明書はbase64.

としてエンコードする必要がありますDCに証明書をldaps.cerとして保存し、次を実行します。 certreq -accept ldaps.cer をクリックして保留中の要求を完了し、証明書をインストールします。既定では、証明書は DC の個人用ストアにインストールされます。証明書MMCスナップインを使用して、これを確認できます。

DCを再起動する必要があります。DC が Windows で起動すると、LDAP 通信に LDAPS が自動的に使用されます。これ以上の構成は必要ありません。

の実行 netstat コマンドは、上記の手順に従ったかどうかにかかわらず、 lsass.exe プロセスがTCPポート389および636でリッスンしていることを示します。ただし、LDAPSは、適切な証明書がインストールされるまで使用できません

ADSI編集ツールを使用して、LDAPSが使用中であることを確認できます。

1. ADSI編集の起動(adsiedit.msc)をリロードします。
2. 左ペインで ADSI編集 を右クリックし、接続 先...を選択します。の詳細を確認してください。
3. ドロップダウンメニューからネーミングコンテキストを選択します。
4. [ Use SSL based encryption] をオンにします。
5. [Advanced...] をクリックします。
6. ポート番号に 「636 」と入力し、「 OK」をクリックします。
7. ポート636は、ウィンドウの上部近くにある [Path ]フィールドに表示されます。[OK]をクリックして接続します。
8. 接続に成功した場合、LDAPSは使用中です。

PowerEdge FC640, PowerEdge M640, PowerEdge M640 (for PE VRTX), PowerEdge MX5016s, PowerEdge MX740C, PowerEdge MX750c, PowerEdge MX760c, PowerEdge MX840C, PowerEdge R240, PowerEdge R250, PowerEdge R260, PowerEdge R340, PowerEdge R350, PowerEdge R360 , PowerEdge R440, PowerEdge R450, PowerEdge R540, PowerEdge R550, PowerEdge R640, PowerEdge R6415, PowerEdge R650, PowerEdge R650xs, PowerEdge R6515, PowerEdge R6525, PowerEdge R660, PowerEdge R660xs, PowerEdge R6615, PowerEdge R6625, PowerEdge R740, PowerEdge R740XD, PowerEdge R740XD2, PowerEdge R7415, PowerEdge R7425, PowerEdge R750, PowerEdge R750XA, PowerEdge R750xs, PowerEdge R7515, PowerEdge R7525, PowerEdge R760, PowerEdge R760XA, PowerEdge R760xd2, PowerEdge R760xs, PowerEdge R7615, PowerEdge R7625, PowerEdge R840, PowerEdge R860, PowerEdge R940, PowerEdge R940xa, PowerEdge R960, PowerEdge T140, PowerEdge T150, PowerEdge T160, PowerEdge T340, PowerEdge T350, PowerEdge T360, PowerEdge T40, PowerEdge T440, PowerEdge T550, PowerEdge T560, PowerEdge T640 ... View More View Less