LDAPS の構成
セキュア LDAP (LDAPS) を使用すると、Active Directory 管理ドメインでセキュア軽量ディレクトリアクセスプロトコルを有効にし、SSL (Secure Socket Layer)/TLS (Transport Layer Security) を介した通信を提供できます。
- デフォルトでは、クライアントとサーバーアプリケーション間の LDAP 通信は暗号化されていません。SSL/TLS を使用する LDAP (LDAPS) を使用すると、Linux VDA と LDAP サーバー間の LDAP クエリコンテンツを保護できます。
以下の Linux VDA コンポーネントは LDAPS に依存しています。
- ブローカーエージェント: Delivery Controller™ への Linux VDA 登録
-
ポリシーサービス: ポリシー評価
-
LDAPS の構成には以下が含まれます。
- Active Directory (AD)/LDAP サーバーでの LDAPS の有効化
- クライアント使用のためのルート CA のエクスポート
- Linux VDA での LDAPS の有効化/無効化
- サードパーティプラットフォームでの LDAPS の構成
- SSSD の構成
- Winbind の構成
- Centrify の構成
- Quest の構成
AD/LDAP サーバーでの LDAPS の有効化
Microsoft 認証局 (CA) または Microsoft 以外の CA から適切にフォーマットされた証明書をインストールすることで、LDAP over SSL (LDAPS) を有効にできます。
ヒント:
ドメインコントローラーにエンタープライズルート CA をインストールすると、LDAP over SSL/TLS (LDAPS) は自動的に有効になります。
証明書のインストール方法と LDAPS 接続の確認方法の詳細については、Microsoft サポートサイトの「サードパーティ認証局で LDAP over SSL を有効にする方法」を参照してください。
マルチティア (2 層または 3 層など) の認証局階層がある場合、ドメインコントローラーで LDAPS 認証に適した証明書が自動的に利用できるわけではありません。
マルチティア認証局階層を使用してドメインコントローラーで LDAPS を有効にする方法については、Microsoft TechNet サイトの「LDAP over SSL (LDAPS) 証明書」の記事を参照してください。
クライアント使用のためのルート認証局の有効化
クライアントは、LDAP サーバーが信頼する CA からの証明書を使用する必要があります。クライアントの LDAPS 認証を有効にするには、ルート CA 証明書を信頼キーストアにインポートします。
ルート CA のエクスポート方法の詳細については、Microsoft サポート Web サイトの「ルート認証局証明書をエクスポートする方法」を参照してください。
Linux VDA での LDAPS の有効化または無効化
Linux VDA で LDAPS を有効または無効にするには、管理者としてログオンした状態で、以下のスクリプトを実行します。
このコマンドの構文には以下が含まれます。
- 提供されたルート CA 証明書を使用して LDAP over SSL/TLS を有効にする
/opt/Citrix/VDA/sbin/enable_ldaps.sh -Enable pathToRootCA
<!--NeedCopy-->
- SSL/TLS なしの LDAP にフォールバックする
/opt/Citrix/VDA/sbin/enable_ldaps.sh -Disable
<!--NeedCopy-->
LDAPS 専用の Java キーストアは /etc/xdl/.keystore にあります。影響を受けるレジストリキーは次のとおりです。
HKLM\Software\Citrix\VirtualDesktopAgent\ListOfLDAPServers
HKLM\Software\Citrix\VirtualDesktopAgent\ListOfLDAPServersForPolicy
HKLM\Software\Citrix\VirtualDesktopAgent\UseLDAPS
HKLM\Software\Policies\Citrix\VirtualDesktopAgent\Keystore
<!--NeedCopy-->
サードパーティプラットフォームでの LDAPS の構成
-
Linux VDA コンポーネントの他に、VDA に準拠するいくつかのサードパーティソフトウェアコンポーネント (SSSD、Winbind、Centrify、Quest など) もセキュア LDAP を必要とする場合があります。以下のセクションでは、LDAPS、STARTTLS、または SASL 署名とシーリングを使用してセキュア LDAP を構成する方法について説明します。
-
ヒント:
-
これらのソフトウェアコンポーネントのすべてが、セキュア LDAP を確保するために SSL ポート 636 を使用することを好むわけではありません。また、ほとんどの場合、LDAPS (ポート 636 の LDAP over SSL) はポート 389 の STARTTLS と共存できません。
-
SSSD
-
オプションに従って、ポート 636 または 389 で SSSD セキュア LDAP トラフィックを構成します。詳細については、「SSSD LDAP Linux man ページ」を参照してください。
-
Winbind
- Winbind LDAP クエリは ADS メソッドを使用します。Winbind はポート 389 で StartTLS メソッドのみをサポートします。影響を受ける構成ファイルは ldap.conf と smb.conf です。ファイルを次のように変更します。
ldap.conf:
TLS_REQCERT never
smb.conf:
ldap ssl = start tls
ldap ssl ads = yes
client ldap sasl wrapping = plain
<!--NeedCopy-->
あるいは、セキュア LDAP は SASL GSSAPI 署名とシーリングによって構成できますが、TLS/SSL とは共存できません。SASL 暗号化を使用するには、smb.conf 構成を変更します。
smb.conf:
ldap ssl = off
ldap ssl ads = no
client ldap sasl wrapping = seal
<!--NeedCopy-->
Centrify
Centrify はポート 636 での LDAPS をサポートしていません。ただし、ポート 389 でセキュアな暗号化を提供します。詳細については、「Centrify サイト」を参照してください。
Quest
Quest Authentication Service はポート 636 での LDAPS をサポートしていませんが、異なるメソッドを使用してポート 389 でセキュアな暗号化を提供します。
トラブルシューティング
この機能を使用する際に、以下の問題が発生する可能性があります。
-
LDAPS サービスの可用性
AD/LDAP サーバーで LDAPS 接続が利用可能であることを確認します。ポートはデフォルトで 636 です。
-
LDAPS が有効な場合の Linux VDA 登録の失敗
LDAP サーバーとポートが正しく構成されていることを確認します。まずルート CA 証明書を確認し、それが AD/LDAP サーバーと一致していることを確認します。
-
誤ってレジストリが変更された場合
enable_ldaps.sh を使用せずに LDAPS 関連のキーが誤って更新された場合、LDAPS コンポーネントの依存関係が損なわれる可能性があります。
-
Wireshark またはその他のネットワーク監視ツールから SSL/TLS を介して LDAP トラフィックが暗号化されていない
デフォルトでは、LDAPS は無効になっています。強制的に有効にするには、/opt/Citrix/VDA/sbin/enable_ldaps.sh を実行します。
-
Wireshark またはその他のネットワーク監視ツールから LDAPS トラフィックがない
LDAP/LDAPS トラフィックは、Linux VDA の登録とグループポリシーの評価が行われるときに発生します。
-
AD サーバーで ldp connect を実行して LDAPS の可用性を確認できなかった
IP アドレスの代わりに AD FQDN を使用します。
-
/opt/Citrix/VDA/sbin/enable_ldaps.shスクリプトの実行によるルート CA 証明書のインポートの失敗CA 証明書の完全なパスを指定し、ルート CA 証明書が正しいタイプであることを確認します。一般的に、ほとんどの Java Keytool でサポートされているタイプと互換性があるはずです。サポートリストにない場合は、まずタイプを変換できます。証明書形式の問題が発生した場合は、Citrix® は base64 エンコードされた PEM 形式を推奨します。
-
Keytool -list でルート CA 証明書を表示できなかった
/opt/Citrix/VDA/sbin/enable_ldaps.sh を実行して LDAPS を有効にすると、証明書は /etc/xdl/.keystore にインポートされ、キーストアを保護するためにパスワードが設定されます。パスワードを忘れた場合は、スクリプトを再実行してキーストアを作成できます。