AWS Managed Microsoft AD を使用してサーバー側の LDAPS を有効にする - AWS Directory Service

AWS Managed Microsoft AD を使用してサーバー側の LDAPS を有効にする

サーバー側 LDAPS サポートは、商用または自社製の LDAP 対応アプリケーションと AWS Managed Microsoft AD ディレクトリ間の LDAP 通信を暗号化します。これにより、Secure Sockets Layer (SSL) 暗号化プロトコルを使用してネットワーク全体のセキュリティを強化し、コンプライアンス要件を満たすことができます。

サーバー側の LDAPS を有効化する

サーバー側 LDAPS と認証機関 (CA) のサーバーをセットアップし構成する方法の詳細については、AWS セキュリティブログの「How to Enable Server-Side LDAPS for Your AWS Managed Microsoft AD Directory」(AWS Managed Microsoft AD ディレクトリのためにサーバー側の LDAPS を有効化する方法) を参照してください。

ほとんどの設定は、AWS Managed Microsoft AD ドメインコントローラーの管理に使用されている Amazon EC2 インスタンスから行う必要があります。以下の手順を通じて、AWS クラウド上にあるドメインの LDAPS を有効化します。

オートメーションを使用して PKI インフラストラクチャをセットアップする場合は、クイックスタートガイドの「AWS での Microsoft 公開キー基盤」を参照してください。具体的には、「Deploy Microsoft PKI into an existing VPC on AWS」(AWS 上で既存の VPC に Microsoft PKI をデプロイする) で、テンプレートをロードする方法に関するガイドの指示に従います。テンプレートをロードした場合には、[Active Directory Domain Services Type] (Active Directory ドメインのサービスタイプ) のオプション設定時に、必ず AWSManaged を選択します。QuickStart ガイドを使用している場合は、直接 ステップ 3: 証明書テンプレートを作成する に移動できます。

ステップ 1: LDAPS を有効化する権限を委任する

サーバー側 LDAPS を有効にするユーザーは、AWS Managed Microsoft AD ディレクトリ内にある Admins グループ、または、AWS により委任された Enterprise Certificate Authority Administrators グループのメンバーである必要があります。または、デフォルトの管理ユーザー (管理者アカウント) であれば、この権限を保持しています。必要に応じて、LDAPS を設定するために、管理者アカウント以外のユーザーを使用することができます。その場合は、そのユーザーを AWS Managed Microsoft AD ディレクトリ内の Admins グループか、AWS により委任された Enterprise Certificate Authority Administrators グループに追加します。

ステップ 2: 認証機関を設定する

サーバー側の LDAPS を有効にする前に、証明書を作成する必要があります。この証明書は、AWS Managed Microsoft AD ドメインに参加している Microsoft エンタープライズ CA サーバーによって発行される必要があります。作成された証明書は、対象ドメインの各ドメインコントローラーにインストールします。この証明書により、ドメインコントローラーの LDAP サービスは LDAP クライアントからの SSL 接続をリッスンし、自動的に承認できます。

注記

AWS Managed Microsoft AD のサーバー側の LDAPS は、単独の CA から発行される証明書をサポートしていません。また、サードパーティーの認証機関により発行された証明書もサポートしていません。

ドメインの CA の設定または接続には、ビジネスのニーズに応じて以下のオプションを使い分けることができます。

  • 下位の Microsoft エンタープライズ CA を作成する – (推奨) このオプションを使用すると、下位の Microsoft エンタープライズ CA サーバーを AWS クラウドにデプロイできます。サーバーは、Amazon EC2 を使用することで、既存のルート Microsoft CA との連携が可能です。下位の Microsoft エンタープライズ CA を設定する方法については、「How to Enable Server-Side LDAPS for Your AWS Managed Microsoft AD Directory」(AWS Managed Microsoft AD ディレクトリのためにサーバー側の LDAPS を有効化する方法) で、「Step 4: Add a Microsoft Enterprise CA to your AWS Microsoft AD directory」(AWS Microsoft AD ディレクトリに Microsoft Enterprise CA を追加する) を参照してください。

  • ルート Microsoft エンタープライズ CA を作成する – このオプションを使用すると、Amazon EC2 を使用してルートの Microsoft エンタープライズ CA を AWS クラウドに作成し、それを AWS Managed Microsoft AD ドメインに結合することができます。このルート CA からは、ドメインコントローラーに対し証明書を発行できます。新しいルート CA の設定の詳細については、「How to Enable Server-Side LDAPS for Your AWS Managed Microsoft AD Directory」(AWS Managed Microsoft AD ディレクトリのためにサーバー側の LDAPS を有効化する方法) で、「Step 3: Install and configure an offline CA」(オフライン CA をインストールおよび設定する) を参照してください。

EC2 インスタンスをドメインに結合する方法の詳細については、「EC2 インスタンスを AWS Managed Microsoft AD ディレクトリに結合する」を参照してください。

ステップ 3: 証明書テンプレートを作成する

エンタープライズ CA の設定後は、Kerberos 認証証明書テンプレートを設定することが可能になります。

証明書テンプレートを作成するには

  1. Microsoft Windows サーバーマネージャー を起動します。[Tools > Certification Authority] (ツール > 認証機関) をクリックします。

  2. [Certificate Authority] (認証機関) ウィンドウで、左サイドペインにある [Certificate Authority] (認証機関) ツリーを展開します。[Certificate Templates] (証明書テンプレート) を右クリックし、[Manage] (管理) を選択します。

  3. [Certificate Templates Console] (証明書テンプレートコンソール) ウィンドウで、[Kerberos Authentication] (Kerberos 認証) を右クリックし、[Duplicate Template] (テンプレートの複製) を選択します。

  4. [Properties of New Template] (新しいテンプレートのプロパティ) ウィンドウがポップアップ表示されます。

  5. [Properties of New Template] (新しいテンプレートのプロパティ) ウィンドウで、[Compatibility] (互換性) のタブを開いた上で以下を実行します。

    1. [Certification Authority] (認証機関) を CA に適合する OS に変更します。

    2. [Resulting changes] (変更の結果) ウィンドウが表示されたら、[OK] をクリックします。

    3. [Certification recipient] (認証の受信者) を 「Windows 8.1 / Windows Server 2012 R2」に変更します。

      注記

      AWS Managed Microsoft AD は Windows Server 2012 R2 を使用しています。

    4. [Resulting changes] (変更の結果) ウィンドウが表示されたら、[OK] をクリックします。

  6. [General] (一般) タブをクリックし、[Template display name] (テンプレートの表示名) を、「LDAPOverSSL」、または自分が選択した他の名前に変更します。

  7. [Security] (セキュリティ) タブを開き、[Group or user names] (グループ名またはユーザー名) セクションで、[Domain Controllers] (ドメイン コントローラー) を選択します。[Permissions for Domain Controllers] (ドメインコントローラーのアクセス許可) セクションで、[Read] (読み取り)、[Enroll] (登録)、[Autoenroll] (自動登録) の [Allow] (許可) チェックボックスが、それぞれオンになっていることを確認します。

  8. [OK] をクリックして、「LDAPOverSSL」(または先に指定した独自の名前) として証明書テンプレートを作成します。[Certificate Templates Console] (証明書テンプレートコンソール) ウィンドウを閉じます。

  9. [Certificate Authority] (認証機関) ウィンドウで、[Certificate Templates] (証明書テンプレート) を右クリックした上で、[New > Certificate Template to Issue] (新規 > 発行する証明書テンプレート) を選択します。

  10. [Enable Certificate Templates] (証明書テンプレートの有効化) ウィンドウで、「LDAPOverSSL」(または先に指定した名前) を選択し、[OK] をクリックします。

ステップ 4: セキュリティグループのルールを追加する

最後のステップでは、Amazon EC2 コンソールを開き、セキュリティグループのルールを追加する必要があります。これらのルールにより、ドメインコントローラはエンタープライズ CA に接続して証明書をリクエストできるようになります。これを行うには、ドメインコントローラーからの着信トラフィックをエンタープライズ CA が承認できるように、インバウンドのルールを追加します。次に、アウトバウンドのルールを追加して、ドメインコントローラーからエンタープライズ CA へのトラフィックを許可します。

両方のルールが設定されると、ドメインコントローラーは、エンタープライズ CA に対し証明書を自動的にリクエストし、さらにディレクトリの LDAPS を有効化します。これでドメインコントローラーの LDAP サービスで LDAPS 接続を受け入れる準備が整いました。

セキュリティグループのルールを設定するには

  1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2) にアクセスし、管理者の認証情報を使用してサインインを行います。

  2. 左側のペインで、[Network & Security] (ネットワークとセキュリティ) の [Security Groups] (セキュリティセキュリティグループ) をクリックします。

  3. メインペインで、CA の AWS セキュリティグループを選択します。

  4. [Inbound] (インバウンド) タブを開き、[Edit] (編集) をクリックします。

  5. Edit inbound rules (インバウンドのルールの編集) ダイアログボックスで、次の操作を行います。

    • [Add Rule] (ルールの追加) をクリックします。

    • [Type] (タイプ) では [All traffic] (すべてのトラフィック) を、[Source] (送信元) では [Custom] (カスタム) をそれぞれ選択します。

    • [Source] (送信元) の隣にあるボックスに、ディレクトリの AWS セキュリティグループ (例えば sg-123456789) を入力します。

    • [Save] (保存) をクリックします。

  6. 次に、AWS Managed Microsoft AD ディレクトリの AWS セキュリティグループを選択します。[Outbound] (アウトバウンド) タブを開き、[Edit] (編集) をクリックします。

  7. [Edit outbound rules] (アウトバウンドルールの編集) ダイアログボックスで、次の操作を行います。

    • [Add Rule] (ルールの追加) をクリックします。

    • [Type] (タイプ) では [All traffic] (すべてのトラフィック) を、[Destination] (送信先) では [Custom] (カスタム) をそれぞれ選択します。

    • [Destination] (送信先) の隣にあるボックスに、CA の AWS セキュリティグループを入力します。

    • [Save] (保存) をクリックします。

LDP ツールを使用すると、AWS Managed Microsoft AD ディレクトリへの LDAPS 接続をテストできます。LDP ツールは、Active Directory 管理ツールに付属しています。詳細については、「Active Directory 管理ツールのインストール」を参照してください。

注記

LDAPS 接続をテストする前に、下位 CA からドメインコントローラーに証明書が発行されるまで、最大 30 分間待機する必要があります。

サーバー側の LDAPS に関する詳細および、その設定方法に関するユースケース例については、AWS セキュリティブログの「How to Enable Server-Side LDAPS for Your AWS Managed Microsoft AD Directory」(AWS Managed Microsoft AD ディレクトリのためにサーバー側の LDAPS を有効化する方法) を参照してください。