![見出し画像](https://assets.st-note.com/production/uploads/images/108007188/rectangle_large_type_2_362ead563257e46d0e86d5084be034f8.jpeg?width=800)
セキュア LDAP で守れ! - AWS Managed Microsoft AD で LDAPS を有効化する
Active Directory で使用される LDAP というプロトコルについて「AWS Directory Service 管理ガイド」のおことばを見ます
LDAP (Lightweight Directory Access Protocol) は、Active Directory に対するデータの読み書きに使用される標準の通信プロトコルです。一部のアプリケーションでは、LDAP を使用して Active Directory のユーザーやグループの追加、削除、または検索を行なったり、そのユーザーを認証するための認証情報を転送したりします。すべての LDAP 通信には、クライアント (アプリケーションなど) とサーバー (Active Directory など) が含まれています。
この LDAP 通信を SSL/TLS で保護できます
セキュアな LDAP -- LDAPS です
この LDAPS の有効化を AWS Managed Microsoft AD でやってみます
SSL/TLS 証明書
LDAPS の実装に必要なモノ -- SSL/TLS 証明書です
SSL/TLS 証明書の発行には認証局が必要になります
前出の「AWS Directory Service 管理ガイド」を確認します
サーバー側の LDAPS を有効にする前に、証明書を作成する必要があります。この証明書は、AWS Managed Microsoft AD ドメインに参加している Microsoft エンタープライズ CA サーバーによって発行される必要があります。
注記
AWS Managed Microsoft AD のサーバー側の LDAPS は、単独の CA から発行される証明書をサポートしていません。また、サードパーティーの認証機関により発行された証明書もサポートしていません。
つまり事実上 Active Directory 証明書サービス (AD CS) 一択です
オレオレ証明書は門前払いです
![](https://assets.st-note.com/img/1686495298264-nqWQSEsIsc.jpg?width=800)
LDAPS 有効化手順
AWS Managed Microsoft AD で LDAPS を有効化するフローです
セキュリティグループのルールを追加する
AWS Managed Microsoft AD と AD CS を導入するサーバーが疎通するようセキュリティグループのルールを追加します
AD CS をインストールして認証機関を設定する
AD CS をインストールし エンタープライズ CA を構築します
証明書を発行する
Kerberos 認証証明書を発行し ドメインコントローラーに登録します
では やって行きます!
![](https://assets.st-note.com/img/1686495424966-sqE9kk7nNq.jpg)
セキュリティグループのルールを追加する
AWS Managed Microsoft AD と AD CS が疎通するようセキュリティグループのルールを追加します
・ AWS Managed Microsoft AD ディレクトリのセキュリティグループ
AWS Managed Microsoft AD ディレクトリのセキュリティグループの名前は「<ディレクトリ ID>__controllers」です
このセキュリティグループを探してアウトバウンドルールを追加します
追加するルール
![](https://assets.st-note.com/img/1686495569042-Nf8ejmRqnQ.png?width=800)
ちなみに LDAPS ではポート 636 を使用しますが 最初から開いてたりします
![](https://assets.st-note.com/img/1686495715396-l3FsLfBycb.png?width=800)
・ AD CS を導入する EC2 インスタンスにアタッチした AWS セキュリティグループ
AD CS を導入する EC2 インスタンスにアタッチした AWS セキュリティグループに以下のインバウンドルールを追加します
追加するルール
![](https://assets.st-note.com/img/1686495804417-KJmrHmTmX5.png?width=800)
AD CS をインストールして認証機関を設定する
ディレクトリに結合した EC2 インスタンスで 役割サービスに [Certification Authority] を選択し AD CS をインストールします
![](https://assets.st-note.com/img/1686498010484-DGG2lU34vI.png?width=800)
また 疎通確認に Ldap.exe というツールが使用できます
[AD DS and AD LDS Tools] でインストールできます
入れておいてあげましょう
![](https://assets.st-note.com/img/1686498457062-pLQUG5uw3x.png?width=800)
インストールが完了したら認証局を構築します
AD CS で構築できる認証局はエンタープライズ CA またはスタンドアロン CA の 2 種類があります
![](https://assets.st-note.com/img/1686496025049-vY6Xn2enbe.png)
AWS Managed Microsoft AD ディレクトリの LDAPS ではエンタープライズ CA が要件となりますので エンタープライズ CA を構築します
サーバーマネージャーの通知から [Configure Active Directory Certificate Services on the destination server] をクリックします
![](https://assets.st-note.com/img/1686496280004-Tw6rOH9csq.png?width=800)
[Credential] に管理者ユーザーを指定します
このユーザーは AWS Managed Microsoft AD ディレクトリ内の Admins グループまたは Enterprise Certificate Authority Administrators グループのユーザーである必要があります
![](https://assets.st-note.com/img/1686496311296-tNKp7qejRp.png?width=800)
認証局を構築するので 役割サービスには [Certification Authority] を選択します
![](https://assets.st-note.com/img/1686496349376-QCitYjmwid.png?width=800)
[Enterprise CA] を選択します
![](https://assets.st-note.com/img/1686496378297-SDWDr17QPV.png?width=800)
[Root CA] を選択します
![](https://assets.st-note.com/img/1686496415412-7b8cx5i0JF.png?width=800)
プライベートキーを新しく作成する必要があります (既存のキーがないので)
[Create a new private key] を選択します
![](https://assets.st-note.com/img/1686496438632-ZaSzBFFFHa.png?width=800)
セキュリティ上 ハッシュアルゴリズムはできるだけ最新のものを選択します
![](https://assets.st-note.com/img/1686496468153-lTCDpTSB5J.png?width=800)
任意の CA 名を指定します
![](https://assets.st-note.com/img/1686496496711-HykKRT1US1.png?width=800)
証明書の有効期限はデフォルト (5 年) のまま進みます
![](https://assets.st-note.com/img/1686496523389-aD2ikDhzbU.png?width=800)
データベースの場所は変更せず 進みます
![](https://assets.st-note.com/img/1686496550746-YQxyZ88GTx.png?width=800)
設定を確認して [Configure] をクリックします
![](https://assets.st-note.com/img/1686496577890-NSQ9upRchZ.png?width=800)
![](https://assets.st-note.com/img/1686496639558-cgAeUG9em7.jpg?width=800)
CA 構築完了です
![](https://assets.st-note.com/img/1686496604480-OXIOFWH433.png?width=800)
証明書を発行する
Kerberos 認証証明書を発行します
[Administrative Tools (管理ツール) ] から [Certification Authority] を選択して起動します
左サイドペインの [Certificate Authority] ツリーを展開します
![](https://assets.st-note.com/img/1686496726738-0UxRbfuveN.png?width=800)
[Certificate Templates] を右クリックし、[Manage] (管理) を選択します
![](https://assets.st-note.com/img/1686496789558-MnZvntqXrV.png?width=800)
[Certificate Templates Console] ウィンドウが開きます
[Kerberos Authentication] を右クリックし、[Duplicate Template] を選択します
![](https://assets.st-note.com/img/1686496833477-fyRUdF3CXq.png?width=800)
[Compatibility] タブを選択します
CA および証明書を利用するクライアントオペレーティングシステムを選択します
ここで選択したオペレーティングシステムのバージョン以前はサポートされません
AD CS の証明書テンプレートには 1 ~ 4 のバージョンがあり それぞれ以下のオペレーティングシステムをサポートします
証明書テンプレートのバージョン
バージョン 1 : Windows 2000 以降
バージョン 2 : Windows Server 2003 / Windows XP 以降
バージョン 3 : Windows Server 2008 / Windows Vista 以降
バージョン 4 : Windows Server 2012 / Windows 8 以降
![](https://assets.st-note.com/img/1686496951975-m2gUYyoGX3.png)
[General] タブで証明書テンプレート名を指定します
わかりやすい名前を付けてあげます
![](https://assets.st-note.com/img/1686496995933-ReK0rpFYaM.png)
[Security] タブを選択します
証明書は発行後 ドメインコントローラーで登録されるため [Domain Controllers] に以下の権限を設定します
Read
Enroll
Autoenroll
![](https://assets.st-note.com/img/1686497079516-sk1D8yu06I.png)
設定が終わったら [OK] をクリックします
証明書テンプレートが追加されました
![](https://assets.st-note.com/img/1686497170072-P9F7VsbKmm.png?width=800)
証明書を発行します
[Certificate Authority] ウィンドウで、[Certificate Templates] を右クリックし、[New > Certificate Template to Issue] を選択します
![](https://assets.st-note.com/img/1686497207422-OaRL6bfQG8.png?width=800)
[Enable Certificate Templates] ウィンドウで、作成した証明書テンプレートを選択し [OK] をクリックします
![](https://assets.st-note.com/img/1686497233600-24k1CIJNPE.png)
しばらく待っていると 証明書が発行され ドメインコントローラーに登録されます
[Enable Certificate Templates] ウィンドウの [Issued Certificates] で確認できます
![](https://assets.st-note.com/img/1686497270730-y3hhcaJoXj.png?width=800)
疎通確認
![](https://assets.st-note.com/img/1686497317524-L1BNLWzLEF.jpg?width=800)
スタートメニューで「ldp」と検索し Ldap.exe を起動します
![](https://assets.st-note.com/img/1686497361191-3jwI29SEYL.png?width=800)
[Connect] ウィンドウで以下を入力します
Server: <ディレクトリのDNS 名>
Port: 636
SSL: 有効
![](https://assets.st-note.com/img/1686497399571-v38xOe1C7j.png)
[OK] をクリックします
疎通が成功すると証明書の情報が返ってきます
![](https://assets.st-note.com/img/1686497427651-GcKeOAUfiw.png)
これで AWS Managed Microsoft AD の LDAPS 有効化 完成です!
![](https://assets.st-note.com/img/1686497438692-yCiku9Nlxg.jpg?width=800)
この記事が気に入ったらサポートをしてみませんか?