翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
前提条件
クライアント側 LDAPS を有効にする前に、次の要件を満たす必要があります。
Active Directory にサーバー証明書をデプロイする
クライアント側の LDAPS を有効にするには、Active Directory 内のドメインコントローラーごとに、サーバー証明書を取得しインストールする必要があります。これらの証明書は、LDAP サービスが LDAP クライアントからの SSL 接続をリッスンして自動的に承認するために使用されます。SSL 証明書は、社内の Active Directory 証明書サービス (ADCS) のデプロイから発行されたもの、または商用発行者から購入したものを使用できます。Active Directory サーバー証明書の要件の詳細については、Microsoft のウェブサイト「LDAP over SSL (LDAPS) Certificate
CA 証明書の要件
クライアント側 LDAPS のオペレーションには、サーバー証明書の発行元を表す認証機関 (CA) 証明書が必要です。LDAP 通信を暗号化するために、CA 証明書は、Active Directory のドメインコントローラーから提示されるサーバー証明書と照合されます。次の CA 証明書の要件に注意してください。
-
証明書を登録するには、有効期限までに 90 日超の期間があることが必要です。
-
証明書は、プライバシー強化メール (PEM) 形式である必要がありす。Active Directory 内から CA 証明書をエクスポートする場合は、そのファイル形式として Base64 でエンコードされた X.509 (.CER) を選択します。
-
AD Connector ディレクトリごとに最大 5 個の CA 証明書を保存できます。
-
RSASSA-PSS 署名アルゴリズムを使用する証明書はサポートされていません。
ネットワーク要件
AWS アプリケーションの LDAP トラフィックは TCP ポート 636 で排他的に実行され、LDAP ポート 389 へのフォールバックはありません。ただし、レプリケーション、信頼などをサポートする Windows LDAP 通信は、Windows ネイティブセキュリティを備えた LDAP ポート 389 を引き続き使用します。AWS セキュリティグループとネットワークファイアウォールを設定し、AD Connector のポート 636 (アウトバウンド) および自己管理型 Active Directory (インバウンド) での TCP 通信を許可します。
