AWS Managed Microsoft AD を使用してクライアント側の LDAPS を有効にする - AWS Directory Service

AWS Managed Microsoft AD を使用してクライアント側の LDAPS を有効にする

AWS Managed Microsoft AD のクライアント側の LDAPS サポートにより、Microsoft Active Directory (AD) と AWS アプリケーション間の通信が暗号化されます。このようなアプリケーションには、WorkSpaces、AWS IAM Identity Center (successor to AWS Single Sign-On)、Amazon QuickSight、Amazon Chime などがあります。この暗号化により、組織の ID データの保護を強化し、セキュリティ要件を満たすことができます。

前提条件

クライアント側 LDAPS を有効にする前に、次の要件を満たす必要があります。

Active Directory にサーバー証明書をデプロイする

クライアント側の LDAPS を有効にするには、Active Directory 内のドメインコントローラーごとに、サーバー証明書を取得しインストールする必要があります。これらの証明書は、LDAP サービスが LDAP クライアントからの SSL 接続をリッスンして自動的に承認するために使用されます。SSL 証明書は、社内の Active Directory 証明書サービス (ADCS) のデプロイから発行されたもの、または商用発行者から購入したものを使用できます。Active Directory サーバー証明書の要件の詳細については、Microsoft のウェブサイト「LDAP over SSL (LDAPS) Certificate」(LDAP over SSL (LDAPS) 証明書) を参照してください。

CA 証明書の要件

クライアント側 LDAPS のオペレーションには、サーバー証明書の発行元を表す認証機関 (CA) 証明書が必要です。LDAP 通信を暗号化するために、CA 証明書は、Active Directory のドメインコントローラーから提示されるサーバー証明書と照合されます。次の CA 証明書の要件に注意してください。

  • 証明書を登録するには、有効期限までに 90 日超の期間があることが必要です。

  • 証明書は、プライバシー強化メール (PEM) 形式である必要がありす。Active Directory 内から CA 証明書をエクスポートする場合は、そのファイル形式として Base64 でエンコードされた X.509 (.CER) を選択します。

  • AWS Managed Microsoft AD ディレクトリごとに、最大 5 つの CA 証明書を保存できます。

  • RSASSA-PSS 署名アルゴリズムを使用する証明書はサポートされていません。

  • 信頼される各ドメイン内の、すべてのサーバー証明書にチェーンされる CA 証明書は、登録を済ませておく必要があります。

ネットワーク要件

AWS アプリケーションの LDAP トラフィックは TCP ポート 636 で排他的に実行され、LDAP ポート 389 へのフォールバックはありません。ただし、レプリケーション、信頼などをサポートする Windows LDAP 通信は、Windows ネイティブセキュリティを備えた LDAP ポート 389 を引き続き使用します。AWS セキュリティグループとネットワークファイアウォールを設定し、ポート 636 での AWS Managed Microsoft AD (アウトバウンド) および自己管理型 Active Directory (インバウンド) の TCP 通信を許可します。AWS Managed Microsoft AD と自己管理型 Active Directory の間で LDAP ポート 389 を、開いたままに維持します。

クライアント側 LDAPS を有効にする

クライアント側の LDAPS を使用するには、認証期間 (CA) 証明書を AWS Managed Microsoft AD にインポートした上で、ディレクトリの LDAPS を有効にします。この有効化により、AWS アプリケーションと自己管理型 Active Directory 間のすべての LDAP トラフィックには、Secure Sockets Layer (SSL) チャネルの暗号化が使用されます。

2 つの異なる方法を使用して、ディレクトリのクライアント側 LDAPS を有効にできます。次の AWS Management Console または AWS CLI のいずれかの方法を使用します。

注記

クライアント側の LDAPS は、リージョンごとに使用する AWS Managed Microsoft AD の機能です。マルチリージョンレプリケーション を使用している場合、次の手順を各リージョンで個別に適用する必要があります。詳細については、「グローバル機能とリージョン機能」を参照してください。

ステップ 1: AWS Directory Service で証明書を登録する

以下のいずれかの方法を使用して、AWS Directory Service で証明書を登録します。

方法 1: AWS Directory Service で証明書を登録するには (AWS Management Console)

  1. AWS Directory Service コンソールのナビゲーションペインで、[Directories] (ディレクトリ) をクリックします。

  2. ディレクトリのディレクトリ ID リンクを選択します。

  3. [Directory details] (ディレクトリ詳細) ページで、以下のいずれかの操作を行います。

    • [Multi-Region replication] (マルチリージョンレプリケーション) の下に複数のリージョンが表示されている場合には、証明書を登録するリージョンを選択した上で、[Networking & security] (ネットワークとセキュリティ) タブを開きます。詳細については、「プライマリリージョンと追加のリージョン」を参照してください。

    • [Multi-Region replication] (マルチリージョンレプリケーション) の下にリージョンが表示されない場合は、[Networking & security] (ネットワークとセキュリティ) タブを選択します。

  4. [Client-side LDAPS] (クライアント側 LDAPS) セクションで、[Actions] (アクション) メニューを選択してから、[Register certificate] (証明書の登録) を選択します。

  5. [Register a CA certificate] (CA 証明書を登録する) ダイアログボックスで [Browse] (参照) をクリックしてから、証明書を選択し、[Open] (開く) をクリックします。

  6. [Register certificate] (証明書の登録) を選択します。

方法 2: AWS Directory Service で証明書を登録するには (AWS CLI)

  • 次のコマンドを実行します。証明書データについては、CA 証明書ファイルの場所を指定します。証明書 ID がレスポンスとして提供されます。

    aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path

ステップ 2: 登録ステータスを確認する

証明書登録のステータスまたは登録済み証明書のリストを表示するには、次のいずれかの方法を使用します。

方法 1: AWS Directory Service で証明書登録ステータスを確認するには (AWS Management Console)

  1. [Directory details] (ディレクトリの詳細) ページの [Client-side LDAPS] (クライアント側 LDAPS) セクションに移動します。

  2. [Registration status] (登録ステータス) 列に表示される現在の証明書登録状態を確認します。登録ステータスの値が [Registered] (登録済み) に変わると、証明書は正常に登録されています。

方法 2: AWS Directory Service で証明書登録ステータスを確認するには (AWS CLI)

  • 次のコマンドを実行します。ステータス値として Registered が返される場合、証明書は正常に登録されています。

    aws ds list-certificates --directory-id your_directory_id

ステップ 3: クライアント側 LDAPS を有効にする

以下のいずれかの方法を使用して、AWS Directory Service でクライアント側 LDAPS を有効にします。

注記

クライアント側 LDAPS を有効にするには、1 つ以上の証明書が正常に登録されている必要があります。

方法 1: AWS Directory Service でクライアント側 LDAPS を有効にするには (AWS Management Console)

  1. [Directory details] (ディレクトリの詳細) ページの [Client-side LDAPS] (クライアント側 LDAPS) セクションに移動します。

  2. [Enable] (有効化) を選択します。このオプションを使用できない場合は、有効な証明書が正常に登録されていることを確認してから、もう一度やり直してください。

  3. [Enable client-side LDAPS] (クライアント側 LDAPS を有効にする) ダイアログボックスで、[Enable] (有効化) を選択します。

方法 2: AWS Directory Service でクライアント側 LDAPS を有効にするには (AWS CLI)

  • 次のコマンドを実行します。

    aws ds enable-ldaps --directory-id your_directory_id --type Client

ステップ 4: LDAPS ステータスを確認する

以下のいずれかの方法を使用して、AWS Directory Service の LDAPS ステータスを確認します。

方法 1: AWS Directory Service で LDAPS ステータスを確認するには (AWS Management Console)

  1. [Directory details] (ディレクトリの詳細) ページの [Client-side LDAPS] (クライアント側 LDAPS) セクションに移動します。

  2. ステータス値が [Enabled] (有効) と表示されている場合、LDAPS は正常に設定されています。

方法 2: AWS Directory Service で LDAPS ステータスを確認するには (AWS CLI)

  • 次のコマンドを実行します。ステータス値として Enabled が返される場合、LDAPS は正常に設定されています。

    aws ds describe-ldaps-settings –-directory-id your_directory_id

クライアント側 LDAPS を管理する

LDAPS 設定を管理するには、以下のコマンドを使用します。

2 つの異なる方法を使用して、クライアント側 LDAPS 設定を管理できます。次の AWS Management Console または AWS CLI のいずれかの方法を使用します。

証明書の詳細を表示する

以下のいずれかの方法を使用して、証明書の有効期限を確認します。

方法 1: AWS Directory Service で証明書の詳細を表示するには (AWS Management Console)

  1. AWS Directory Service コンソールのナビゲーションペインで、[Directories] (ディレクトリ) をクリックします。

  2. ディレクトリのディレクトリ ID リンクを選択します。

  3. [Directory details] (ディレクトリ詳細) ページで、以下のいずれかの操作を行います。

    • [Multi-Region replication] (マルチリージョンレプリケーション) の下に複数のリージョンが表示されている場合は、証明書を表示するリージョンを選択した上で、[Networking & security] (ネットワークとセキュリティ) タブを開きます。詳細については、「プライマリリージョンと追加のリージョン」を参照してください。

    • [Multi-Region replication] (マルチリージョンレプリケーション) の下にリージョンが表示されない場合は、[Networking & security] (ネットワークとセキュリティ) タブを選択します。

  4. [Client-side LDAPS] (クライアント側 LDAPS) セクションの [CA certificates] (CA 証明書) に、証明書に関する情報が表示されます。

方法 2: AWS Directory Service で証明書の詳細を表示するには (AWS CLI)

  • 次のコマンドを実行します。証明書 ID として、register-certificate または list-certificates から返される識別子を使用します。

    aws ds describe-certificate --directory-id your_directory_id --certificate-id your_cert_id

証明書の登録解除

以下のいずれかの方法を使用して、証明書を登録解除します。

注記

登録されている証明書が 1 つのみの場合は、証明書を登録解除する前に、まず LDAPS を無効にする必要があります。

方法 1: AWS Directory Service で証明書を登録解除するには (AWS Management Console)

  1. AWS Directory Service コンソールのナビゲーションペインで、[Directories] (ディレクトリ) をクリックします。

  2. ディレクトリのディレクトリ ID リンクを選択します。

  3. [Directory details] (ディレクトリ詳細) ページで、以下のいずれかの操作を行います。

    • [Multi-Region replication] (マルチリージョンレプリケーション) の下に複数のリージョンが表示されている場合は、証明書の登録を解除するリージョンを選択した上で、[Networking & security] (ネットワークとセキュリティ) タブを開きます。詳細については、「プライマリリージョンと追加のリージョン」を参照してください。

    • [Multi-Region replication] (マルチリージョンレプリケーション) の下にリージョンが表示されない場合は、[Networking & security] (ネットワークとセキュリティ) タブを選択します。

  4. [Client-side LDAPS] (クライアント側 LDAPS) セクションで、[Actions] (アクション) を選択してから、[Deregister certificate] (証明書の登録解除) を選択します。

  5. [Deregister a CA certificate] (CA 証明書を登録解除する) ダイアログボックスで、[Deregister] (登録解除) をクリックします。

方法 2: AWS Directory Service で証明書を登録解除するには (AWS CLI)

  • 次のコマンドを実行します。証明書 ID として、register-certificate または list-certificates から返される識別子を使用します。

    aws ds deregister-certificate --directory-id your_directory_id --certificate-id your_cert_id

クライアント側 LDAPS の無効化

以下のいずれかの方法を使用して、クライアント側 LDAPS を無効にします。

方法 1: AWS Directory Service でクライアント側 LDAPS を無効にするには (AWS Management Console)

  1. AWS Directory Service コンソールのナビゲーションペインで、[Directories] (ディレクトリ) をクリックします。

  2. ディレクトリのディレクトリ ID リンクを選択します。

  3. [Directory details] (ディレクトリ詳細) ページで、以下のいずれかの操作を行います。

    • [Multi-Region replication] (マルチリージョンレプリケーション) の下に複数のリージョンが表示されている場合は、クライアント側の LDAPS を無効にするリージョンを選択した上で、[Networking & security] (ネットワークとセキュリティ) タブを開きます。詳細については、「プライマリリージョンと追加のリージョン」を参照してください。

    • [Multi-Region replication] (マルチリージョンレプリケーション) の下にリージョンが表示されない場合は、[Networking & security] (ネットワークとセキュリティ) タブを選択します。

  4. [Client-side LDAPS] (クライアント側 LDAPS) セクションで、[Disable] (無効化) を選択します。

  5. [Disable client-side LDAPS] (クライアント側 LDAPS を無効にする) ダイアログボックスで、[Disable] (無効化) をクリックします。

方法 2: AWS Directory Service でクライアント側 LDAPS を無効にするには (AWS CLI)

  • 次のコマンドを実行します。

    aws ds disable-ldaps --directory-id your_directory_id --type Client