ログイン  
こんにちは!

助けが必要? 私たちはここにいます!
miniorange 応援してます〜
miniOrange メールサポート
成功

お問い合わせいただきありがとうございます。

24時間以内に連絡がない場合は、お気軽にフォローアップメールをお送りください。 info@xecurify.com

検索結果:

×

Windows Server で LDAPS を設定するためのステップバイステップ ガイド

miniOrange ガイドラインを使用して LDAPS に接続し、SSL 経由で LDAP を設定し、LDAP サーバーとの安全な接続を確立します。クライアントとサーバー アプリケーション間の LDAP サーバー接続を保護して、通信を暗号化します。シンプル バインド接続の場合、シンプル バインドではユーザー資格情報がクリア テキストで公開されるため、認証を保護するために SSL/TLS を使用することをお勧めします。

1. 証明機関をインストールし、証明書を作成してエクスポートする

1.1: サーバー マネージャーの役​​割を通じて「Active Directory 証明書サービス」の役割をインストールします。

  • Windows Serverマシンで、 スタート -> サーバー マネージャー -> 役割と機能の追加.
    • Windows Server サーバー マネージャー上の LDAPS

  • 選択後 役割と機能を追加する をクリックします 次へ.
    • Windows Server の LDAPS セットアップで役割と機能を追加する

  • 選択する 役割ベースまたは機能ベースのインストール オプションをクリックして 次へ
    • Windows Server の LDAPS の役割または機能ベースのインストール

  • 選択する サーバー プールからサーバーを選択する オプション&サーバープールからldapサーバーを選択し、クリックします 次へ
    • Windows Server上のLDAPSでLDAPサーバーを選択

  • 選択する Active Directory 証明書サービス 役割のリストからオプションを選択し、 次へ
    • Windows Server 上の LDAPS で役割を選択する

  • 機能のリストから何も選択せず、 次へ
    • Windows Server の LDAPS 選択機能

  • Active Directory証明書サービス(AD CS)では何も選択せず、 次へ
    • Windows Server の Active Directory 証明書サービス上の LDAPS

  • Mark Hodder 認証局 役割のリストから選択し、 次へ
    • Windows Server の LDAPS による役割サービスのセットアップ

  • ソフトウェアの制限をクリック インストールを開始する インストールを確認するボタン。
    • Windows Server 上の LDAPS によるサーバーのインストールの確認

  • 今、クリックして 宛先サーバーで Active Directory 証明書サービスを構成する オプションをクリックして 閉じる
    • Windows Server 上の LDAPS でアクティブ ディレクトリを構成する

  • 現在ログオンしているユーザーはローカル管理者グループに属しているので、役割サービスを構成するために使用できます。 次へ
    • Windows Server AD CS 構成ウィザード上の LDAPS

  • Mark Hodder 認証局 役割のリストから選択し、 次へ
    • Windows Server 証明機関の LDAPS

  • 選択する エンタープライズ CA オプションをクリックして 次へ.
    • Windows Server 上の LDAPS エンタープライズ CA を選択

  • 選択する ルート CA オプションをクリックして 次へ
    • Windows Server 上の LDAPS でルート CA を選択する

  • 選択する 新しい秘密鍵を作成する オプションをクリックして 次へ
    • Windows Server 上の LDAPS で秘密鍵を作成する

  • 選択する SHA256 ハッシュアルゴリズムとしてクリック 次へ.
    UPDATE : 最新のハッシュ アルゴリズムを選択することをお勧めします。
    • Windows Server の LDAPS 暗号化アルゴリズム

  • ソフトウェアの制限をクリック 次へ
    • Windows Server の LDAPS CA 名

  • 証明書の有効期間をデフォルトの5年を選択して指定し、 次へ
    • Windows Server 上の LDAPS は証明書の有効性を入力します

  • デフォルトのデータベースの場所を選択し、 次へ.
    • Windows Server の LDAPS データベースの場所

  • ソフトウェアの制限をクリック 構成 確認ボタン
    • Windows Server上のLDAPSの設定を確認する

  • 設定が成功したらクリックします 閉じる
    • Windows Server の LDAPS 構成が成功しました

1.2: 証明書テンプレートを作成する

  • に行く Windows キー + R 実行する certtmpl.msc コマンドを選択し、 Kerberos認証 テンプレート。
    • Windows Server 証明機関の LDAPS

  • 右クリック Kerberos認証 次に選択します テンプレートの複製.
    • Windows Server 上の LDAPS は Kerberos 認証テンプレートを複製します

  • その 新しいテンプレートのプロパティ が表示されます。必要に応じて設定を構成します。
  • に行きます 全般 タブをクリックして有効にする Active Directory で証明書を公開する オプションを選択します。
    • Windows Server の LDAPS の一般設定

  • に行きます リクエスト処理タブ 有効にする 「秘密鍵のエクスポートを許可する」 オプションを選択します。
    • Windows Server 上の LDAPS ldap 証明書のインストール

  • に行きます 件名 タブをクリックし、件名形式を有効にする DNS 名 「適用とOK」ボタンをクリックします。
    • Windows Server の LDAPS サブジェクト名設定

1.3: 証明書テンプレートを発行する

  • に行く スタート -> 証明機関 右をクリック 「証明書テンプレート」 をクリックして 新規-> 発行する証明書テンプレート.
    • Windows Server 証明機関の LDAPS

  • ここで、最近作成した証明書テンプレートを選択し、「OK」ボタンをクリックします。
    • Windows Server 上の LDAPS は Kerberos 認証テンプレートを複製します

1.4: 作成された証明書テンプレートの新しい証明書を要求する

  • に行く Windows キー + R -> mmc -> ファイル -> スナップインの追加と削除。 選択する 証明書、をクリックします 追加 ボタンをクリックしてからクリック Ok ボタンを押します。
    • Windows Server 証明機関の LDAPS

  • 選択する コンピューターアカウント オプションをクリックして 次へ
    • Windows Server 上の LDAPS でコンピュータ アカウントを選択する

  • 選択する ローカルコンピュータ オプションをクリックして 仕上げ
    • Windows Server 上の LDAPS でローカル コンピュータを選択

  • さて、右クリックして 証明書 select すべてのタスク をクリックします。入力したコードが正しければ、MFAの設定は正常に完了します 新しい証明書のリクエスト.
    • Windows Server 上の LDAPS ですべてのタスクを選択

  • 「次へ」ボタンをクリックします。
    • Windows Server上のLDAPSはタスクを続行します

  • 「次へ」ボタンをクリックします。
    • Windows Server 環境ポリシー上の LDAPS

  • 証明書を選択してクリックします 登録する
    • Windows Server 上の LDAPS 証明書登録

  • ソフトウェアの制限をクリック 仕上げ
    • Windows Server 上の LDAPS が証明書を正常に登録しました

1.5: 作成した証明書をエクスポートする

  • 最近生成された証明書を右クリックして選択 すべてのタスク -> エクスポート.
    • Windows Server 上の LDAPS は生成された証明書をエクスポートします

  • ソフトウェアの制限をクリック 次へ
    • Windows Server 上の LDAPS は Kerberos 認証子を複製します

  • 選択する 秘密鍵をエクスポートしないでください オプションをクリックして 次へ
    • Windows Server 上の LDAPS は秘密鍵をエクスポートしません

  • 選択する Base-64 エンコードされた X .509 ファイル形式を選択し、 次へ.
    • Windows Server 上の LDAPS は base-64 でエンコードされています

  • .CERをローカルシステムパスにエクスポートし、 次へ.
    • Windows Server 上の LDAPS で .cer をエクスポートする

  • ソフトウェアの制限をクリック 仕上げ ボタンをクリックして証明書のエクスポートを完了します。
    • Windows Server 上の LDAPS で証明書が正常にエクスポートされました

2. クライアント側サーバーでLDAPSを構成する

2.1: 証明書の形式を変換し、OpenSSL を使用して証明書をインストールする

  • 証明書を .cer 形式から .pem 形式に変換するには、OpenSSL を使用できます。
  • Windowsの場合:
    • このソフトウェアはここから入手できます: http://gnuwin32.sourceforge.net/packages/openssl.htm まだお持ちでない場合。
    • 前の手順で生成した証明書ファイルを、PHP が実行されているマシンにコピーします。次のコマンドを実行します。
      具体的な例を挙げますと、以下の通りです。
      C:\openssl\openssl x509 -in mOrangeLDAPS.cer -out mOrangeLDAPS.pem
      これにより、OpenLDAP クライアント ライブラリが使用できる形式で証明書ファイルが作成されます。
    • 生成された .pem ファイルを任意のディレクトリに配置します (C:\openldap\sysconf は既に存在するディレクトリなので、適切な選択です)。
    • ldap.conf ファイルに次の行を追加します。
      TLS_CACERT C:\openldap\sysconf\mOrangeLDAPS.pem
    • このディレクティブは、OpenLDAP クライアント ライブラリに証明書の場所を通知し、初期接続時に証明書を取得できるようにします。

  • Linuxの場合:
    • 次のコマンドを実行して Openssl をインストールします。
      • Ubuntuの場合:
          • sudo apt-get install openssl

      • RHEL/CentOSの場合:
          • yum install openssl

      • 前の手順で生成した証明書ファイルを、PHP が実行されているマシンにコピーします。次のコマンドを実行します。
        具体的な例を挙げますと、以下の通りです。
        /openssl x509 -in mOrangeLDAPS.cer -out mOrangeLDAPS.pem
        これにより、OpenLDAP クライアント ライブラリが使用できる形式で証明書ファイルが作成されます。
      • 生成された .pem ファイルを任意のディレクトリに配置します (/etc/openldap/ は既に存在するため、適切な選択です)。
      • ldap.conf ファイルに次の行を追加します。
        TLS_CACERT /etc/openldap/mOrangeLDAPS.pem
      • このディレクティブは、OpenLDAP クライアント ライブラリに証明書の場所を通知し、初期接続時に証明書を取得できるようにします。

2.2: JAVA キーストアに証明書をインストールします。

  • 次のコマンドを実行して、cacerts に証明書をインストールします。
  • Windowsの場合:
      keytool -importcert -alias "mOrangeLDAPS"
      -keystore "C:\Program Files\Java\jre1.8.0_231\lib\security\cacerts"
      -file "C:\Users\Administrator\Documents\mOrangeLDAPS.cer"

  • Linuxの場合:
      keytool -importcert -alias "mOrangeLDAPS"
      -keystore "/usr/java/jdk1.8.0_144/jre/lib/security/cacerts"
      -file "/home/mOrangeLDAPS.cer"

  • Web サーバーを再起動します。

3. テスト接続

  • Linuxの場合:
      ldapsearch -ZZ -h ad_host.example.com -D some_user@EXAMPLE.COM -W -b OU=users,DC=EXAMPLE,DC=COM dn
      • ZZ: TLS を開始 (LDAPS 用)
      • h: Active Directory サーバーの IP/ホスト名
      • D: BindDNまたはユーザープリンシパル名
      • W: パスワード(対話形式で提供)
      • b: 検索のベースDN(LDAPツリー内のどこから検索を開始するか)

  • Windowsの場合:

    [必要な役割: 管理者]

    • ドメイン コントローラー (DC) に Windows サポート ツールがインストールされていることを確認します。
    • サポートツールのセットアップ(suptools.msi)は、 \サポート\ツール Windows Server CD のディレクトリ。
    • 選択する スタート >> すべてのプログラム >> Windows サポート ツール >> コマンド プロンプトコマンドラインで次のように入力します。 IDP をクリックしてツールを起動します。
    • ノーザンダイバー社の IDP ウィンドウ、選択 接続 >> 接続 ローカルFQDNとポート番号(636)を入力します。また、 SSL.

  • 成功した場合、ウィンドウが表示され、Active Directory SSL 接続に関連する情報が一覧表示されます。接続に失敗した場合は、システムを再起動してこの手順を繰り返してください。


さらなる参考文献

その他のアイデンティティおよびアクセス管理製品

シングル・サインオン

従業員と顧客のIDをクラウドまたはオンプレミスのアプリにシームレスにログイン

さらに詳しく

多要素認証

追加の認証レイヤーによるIDの安全なアクセス

さらに詳しく

適応認証

IP、デバイス、時間、場所に基づいてユーザーアクセスをブロックまたは許可する

さらに詳しく

ライフサイクル管理

アプリへのユーザーのプロビジョニングとデプロビジョニングを管理および自動化する

もっと詳しく知る