翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Managed Microsoft AD を使用したサーバー側の LDAPS の有効化
サーバー側のLightweight Directory Access Protocol Secure Sockets Layer (SSL)/Transport Layer Security (TLS) (LDAPS)サポートは、商用または自社開発の LDAP対応アプリケーションと AWS Managed Microsoft AD ディレクトリ間のLDAP通信を暗号化します。これにより、 Secure Sockets Layer (SSL)暗号化プロトコルを使用して、ワイヤ全体のセキュリティを向上させ、コンプライアンス要件を満たすことができます。
を使用してサーバー側の LDAPS を有効にする AWS Private Certificate Authority
を使用してサーバー側の LDAPS と認証機関 (CA) サーバーをセットアップおよび設定する方法の詳細については AWS Private CA、「」を参照してくださいAWS Managed Microsoft AD の AWS Private CA Connector for AD を設定する。
Microsoft CA を使用してサーバー側の LDAPS を有効にする
サーバー側の LDAPS と認証機関 (CA) サーバーをセットアップおよび設定する方法の詳細については、 AWS セキュリティブログのAWS 「 Managed Microsoft AD Directory のサーバー側の LDAPS を有効にする方法
ほとんどの設定は、 AWS Managed Microsoft AD ドメインコントローラーの管理に使用されている Amazon EC2 インスタンスから行う必要があります。次の手順では、 でドメインの LDAPS を有効にする方法について説明します AWS クラウド。
オートメーションを使用してPKIインフラストラクチャを設定する場合は、Microsoft「パブリックキーインフラストラクチャ on AWS QuickStart ガイドAWSManaged
を選択します。QuickStart ガイドを使用している場合は、直接 ステップ 3: 証明書テンプレートを作成する に移動できます。
ステップ 1: LDAPS を有効化する権限を委任する
サーバー側の LDAPS を有効にするには、 AWS Managed Microsoft AD ディレクトリの管理者または AWS 委任されたエンタープライズ認証機関管理者グループのメンバーである必要があります。または、デフォルトの管理ユーザー (管理者アカウント) であれば、この権限を保持しています。必要に応じて、LDAPS を設定するために、管理者アカウント以外のユーザーを使用することができます。この場合、そのユーザーを AWS Managed Microsoft AD ディレクトリの管理者または AWS 委任されたエンタープライズ認証機関管理者グループに追加します。
ステップ 2: 認証機関を設定する
サーバー側の LDAPS を有効にする前に、証明書を作成する必要があります。この証明書は、 AWS Managed Microsoft AD ドメインに参加しているMicrosoftEnterprise CAサーバーによって発行される必要があります。作成された証明書は、対象ドメインの各ドメインコントローラーにインストールします。この証明書により、ドメインコントローラーのLDAPサービスはLDAPクライアントからのSSL接続をリッスンして自動的に受け入れることができます。
注記
AWS Managed Microsoft AD を使用したサーバー側の LDAPS は、スタンドアロン CA によって発行された証明書をサポートしていません。また、サードパーティーの認証機関により発行された証明書もサポートしていません。
ドメインの CA の設定または接続には、ビジネスのニーズに応じて以下のオプションを使い分けることができます。
-
下位サーバーの作成 Microsoft Enterprise CA – (推奨) このオプションを使用すると、 AWS クラウドに下位MicrosoftEnterprise CAサーバーをデプロイできます。サーバーは Amazon EC2 を使用して、既存のルート Microsoft CA と連携させることができます。下位 を設定する方法の詳細についてはMicrosoftEnterprise CA、「 Managed Microsoft AD AD Directory の AWS Microsoftサーバー側の LDAPS を有効にする方法」の「ステップ 4: ディレクトリMicrosoftEnterprise CAに を追加する」を参照してください。 AWS
-
ルートの作成 Microsoft Enterprise CA – このオプションでは、Amazon EC2 を使用して AWS クラウドMicrosoftEnterprise CAにルートを作成し、 AWS Managed Microsoft AD ドメインに結合できます。このルート CA からは、ドメインコントローラーに対し証明書を発行できます。新しいルート CA の設定の詳細については、「 Managed Microsoft AD Directory のサーバー側の LDAPS を有効にする方法」の「ステップ 3: オフライン CA をインストールして設定する」を参照してください。 AWS
EC2 インスタンスをドメインに結合する方法の詳細については、「Amazon EC2 インスタンスを AWS Managed Microsoft AD に結合する方法」を参照してください。
ステップ 3: 証明書テンプレートを作成する
Enterprise CA のセットアップが完了したら、Kerberos認証証明書テンプレートを設定できます。
証明書テンプレートを作成するには
-
Microsoft Windows サーバーマネージャー を起動します。[Tools > Certification Authority] (ツール > 認証機関) をクリックします。
-
[Certificate Authority] (認証機関) ウィンドウで、左サイドペインにある [Certificate Authority] (認証機関) ツリーを展開します。[Certificate Templates] (証明書テンプレート) を右クリックし、[Manage] (管理) を選択します。
-
[Certificate Templates Console] (証明書テンプレートコンソール) ウィンドウで、[Kerberos Authentication] (Kerberos 認証) を右クリックし、[Duplicate Template] (テンプレートの複製) を選択します。
-
[Properties of New Template] (新しいテンプレートのプロパティ) ウィンドウがポップアップ表示されます。
-
[Properties of New Template] (新しいテンプレートのプロパティ) ウィンドウで、[Compatibility] (互換性) のタブを開いた上で以下を実行します。
-
CA OSに一致する に認証機関を変更します。
-
[Resulting changes] (変更の結果) ウィンドウが表示されたら、[OK] をクリックします。
-
[認証の受信者] を [Windows 10/Windows Server 2016] に変更します。
注記
AWS Managed Microsoft AD は を利用していますWindows Server 2019。
-
[Resulting changes] (変更の結果) ウィンドウが表示されたら、[OK] をクリックします。
-
-
[General] (一般) タブをクリックし、[Template display name] (テンプレートの表示名) を、「LDAPOverSSL」、または自分が選択した他の名前に変更します。
-
[Security] (セキュリティ) タブを開き、[Group or user names] (グループ名またはユーザー名) セクションで、[Domain Controllers] (ドメイン コントローラー) を選択します。[Permissions for Domain Controllers] (ドメインコントローラーのアクセス許可) セクションで、[Read] (読み取り)、[Enroll] (登録)、[Autoenroll] (自動登録) の [Allow] (許可) チェックボックスが、それぞれオンになっていることを確認します。
-
[OK] をクリックして、「LDAPOverSSL」(または先に指定した独自の名前) として証明書テンプレートを作成します。[Certificate Templates Console] (証明書テンプレートコンソール) ウィンドウを閉じます。
-
[Certificate Authority] (認証機関) ウィンドウで、[Certificate Templates] (証明書テンプレート) を右クリックした上で、[New > Certificate Template to Issue] (新規 > 発行する証明書テンプレート) を選択します。
-
[Enable Certificate Templates] (証明書テンプレートの有効化) ウィンドウで、「LDAPOverSSL」(または先に指定した名前) を選択し、[OK] をクリックします。
ステップ 4: セキュリティグループのルールを追加する
最後のステップでは、Amazon EC2 コンソールを開き、セキュリティグループのルールを追加する必要があります。これらのルールにより、ドメインコントローラーは に接続Enterprise CAして証明書をリクエストできます。これを行うには、インバウンドルールを追加して、 がドメインコントローラーからの受信トラフィックを受け入れるEnterprise CAことができるようにします。次に、ドメインコントローラーから へのトラフィックを許可するアウトバウンドルールを追加しますEnterprise CA。
両方のルールが設定されると、ドメインコントローラーEnterprise CAは自動的に に証明書をリクエストし、ディレクトリの LDAPS を有効にします。これで、ドメインコントローラーのLDAPサービスは LDAPS 接続を受け入れる準備ができました。
セキュリティグループのルールを設定するには
-
Amazon EC2 コンソール (https://console.aws.amazon.com/ec2
) にアクセスし、管理者の認証情報を使用してサインインを行います。 -
左側のペインで、[Network & Security] (ネットワークとセキュリティ) の [Security Groups] (セキュリティセキュリティグループ) をクリックします。
-
メインペインで、CA AWS のセキュリティグループを選択します。
-
[Inbound] (インバウンド) タブを開き、[Edit] (編集) をクリックします。
-
Edit inbound rules (インバウンドのルールの編集) ダイアログボックスで、次の操作を行います。
-
[Add Rule] (ルールの追加) をクリックします。
-
[Type] (タイプ) では [All traffic] (すべてのトラフィック) を、[Source] (送信元) では [Custom] (カスタム) をそれぞれ選択します。
-
ソースの横にあるボックスに、ディレクトリ AWS のセキュリティグループ ( など
sg-123456789
) を入力します。 -
[保存] を選択します。
-
-
次に、 AWS Managed Microsoft AD ディレクトリ AWS のセキュリティグループを選択します。[Outbound] (アウトバウンド) タブを開き、[Edit] (編集) をクリックします。
-
[Edit outbound rules] (アウトバウンドルールの編集) ダイアログボックスで、次の操作を行います。
-
[Add Rule] (ルールの追加) をクリックします。
-
[Type] (タイプ) では [All traffic] (すべてのトラフィック) を、[Destination] (送信先) では [Custom] (カスタム) をそれぞれ選択します。
-
送信先の横にあるボックスに CA AWS のセキュリティグループを入力します。
-
[保存] を選択します。
-
LDP ツールを使用して AWS Managed Microsoft AD ディレクトリへの LDAPS 接続をテストできます。LDP ツールには が付属していますActive Directory Administrative Tools。詳細については、「AWS Managed Microsoft AD 用の Active Directory 管理ツールのインストール」を参照してください。
注記
LDAPS 接続をテストする前に、下位 CA からドメインコントローラーに証明書が発行されるまで、最大 30 分間待機する必要があります。
サーバー側の LDAPS の詳細については、 セキュリティ AWS ブログのAWS 「 Managed Microsoft AD Directory のサーバー側の LDAPS を有効にする