BLOGTIMES
2019/04/07

Active Directory を LDAPS に対応させる

  windowsserver  ssl  ldap 
このエントリーをはてなブックマークに追加

MMC スナップイン - Active Directory を LDAPS に対応させる

Active Directory ドメイン サービス (AD DS) は単純にサーバをセットアップしただけでは証明書がないので LDAPS が使えません
通常の AD 運用においてはこれでも特に問題ないのですが、一部の作業(パスワードの変更など)は LDAPS 経由でないと行えないことがあります。

OpenSSL で証明書が作りたい!

証明書の作成は Windows 上で行うことが一般的なのかもしれませんが、今回は以下の手順を参考に OpenSSL で証明書を生成してみました。

基本的には手順通りなのですが、ハマりやすいポイントとしては証明書に以下の条件があることです。

  • サーバの FQDN や IP アドレスが Common Name や SAN に設定されていること
  • 拡張キー使用法(Extended Key Usage)にサーバー認証 (1.3.6.1.5.5.7.3.1) が含まれていること
  • 証明書が信頼されていること

これを満たすように OpenSSL を使って証明書を作ると以下のような感じになります。

# キーと証明書の生成 openssl req \ -new \ -newkey rsa:2048 \ -days 3650 \ -sha256 \ -nodes \ -x509 \ -subj "/CN=domain.example.com" \ -extensions SAN \ -config <( cat /etc/ssl/openssl.cnf <(printf "[SAN]\nextendedKeyUsage=1.3.6.1.5.5.7.3.1\nsubjectAltName=\ 'DNS:adserver1.domain.example.com,\ DNS:adserver2.domain.example.com,\ DNS:10.10.10.10,\ DNS:10.10.10.11'\ ")) \ -keyout adserver.pem \ -out adserver.pem # インポート時のパスワードの設定を求められるので、パスワードを2回入力する cat adserver.pem | openssl pkcs12 -export -out adserver.p12 -name "adserver key"

あとは MMC スナップインから証明書を「個人\証明書」と「信頼された証明書\証明書」にインポートするだけです。
作業が完了したらサービスから Active Directory Domain Service を再起動すれば反映されます。

最後にDOS 窓から LDAPS のポートが開いてるか確認をして、ldp.exe を使って SSL 接続してみれば動作確認もできます。

netstat -na | find ":636"

    トラックバックについて
    Trackback URL:
    お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
    このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/10881
    Trackbacks
    このエントリにトラックバックはありません
    Comments
    愛のあるツッコミをお気軽にどうぞ。[policy]
    古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
    コメントはありません
    Comments Form

    コメントは承認後の表示となります。
    OpenIDでログインすると、即時に公開されます。

    OpenID を使ってログインすることができます。

    Identity URL: Yahoo! JAPAN IDでログイン