SSLを使用したLDAPクエリの暗号化-Windows2008 R2
ドメインを保護しようとしているので、LDAPクエリが別のコンピューターから作成されると、SSLで暗号化されます。
私はこれに従いました ガイド 私はWindows 2008R2を使用していると思っていました。
Active Directory証明書サービスの役割をほとんどデフォルト設定で追加し、エンタープライズルートCAであることを確認しました(ガイドが示唆しているように)
Windows 7コンピューターにログインし(すべてのファイアウォールが無効になっています)、JavaベースのアプリJXplorer(何か良いものはありますか?)を使用してLDAPクエリを実行します(または少なくとも試行します)、問題は接続できないようですGSSAPI以外のものを使用してサーバーに(それが何であるかさえわからない)、他のオプションを試しましたが、接続しません。
guide は、サーバーにCAをインストールする以外に何も言及していません。LDAPクエリにSSLを強制するために実行する必要のある他の構成があるかどうか疑問に思います。
どうもありがとう。
2008R2でActiveDirectoryを実行していると実際に言うことはありませんが、そうだと思います。
まず、ドメインコントローラーに証明書サービスをインストールしたり、認証局にする必要はありません。 DCには、LDAPクライアントが「信頼する」単一の「有効な」SSL証明書が割り当てられている必要があります。
DCの証明書を取得するにはさまざまな方法があります。認証局(AD証明書サービスなど)をインストールし、それを使用して「ドメインコントローラー」証明書を生成することは、1つの方法ですが、唯一の方法ではありません。また、ドメインコントローラーを認証局にすることは一般的に賢明ではないと考えられています。代わりに、専用のマシンに置いてください。
Webサーバーの場合と同じように、サードパーティのCAから証明書を取得することもできます。ドメインコントローラー証明書には「有効」であるために必要なさまざまな属性があるため、少し複雑です。この件に関するMicrosoftからのリンクは次のとおりです。 サードパーティの認証局でLDAP over SSLを有効にする方法
LDAPS証明書の要件
LDAPSを有効にするには、次の要件を満たす証明書をインストールする必要があります。
- LDAPS証明書は、ローカルコンピューターの個人証明書ストア(プログラムではコンピューターのMY証明書ストアと呼ばれます)にあります。
- 証明書と一致する秘密鍵がローカルコンピューターのストアに存在し、証明書に正しく関連付けられています。秘密鍵では、強力な秘密鍵保護を有効にしないでください。
- 拡張キー使用法拡張機能には、サーバー認証(1.3.6.1.5.5.7.3.1)オブジェクト識別子(OIDとも呼ばれます)が含まれています。
- ドメインコントローラーのActiveDirectory完全修飾ドメイン名(たとえば、DC01.DOMAIN.COM)は、次のいずれかの場所に表示される必要があります。
- [件名]フィールドの共通名(CN)。
- サブジェクト代替名拡張子のDNSエントリ。
- 証明書は、ドメインコントローラーとLDAPSクライアントが信頼するCAによって発行されました。信頼は、発行元のCAがチェーンするルートCAを信頼するようにクライアントとサーバーを構成することによって確立されます。
- キーを生成するには、Schannel暗号化サービスプロバイダー(CSP)を使用する必要があります。
証明書をインストールしてDCで作業すると、LDAPクライアントをポート636または3269(GC接続用)にポイントできるようになり、準備が整います。