過去のナビゲーションリンクのスキップSecure Global Desktop 4.40 管理者ガイド > セキュリティー > Active Directory および LDAP ディレクトリサーバーへの接続の保護

Active Directory および LDAP ディレクトリサーバーへの接続の保護

SGD セキュリティーサービスを使って、Microsoft Active Directory を含む LDAP ディレクトリサーバーへの接続を保護できます。これらの接続は、次の認証機構で使用されます。

これらの接続を保護するには、次の手順を実行します。

  1. SGD Administration Console で、LDAP または Active Directory へのセキュア接続を設定します。

    手順については、「Active Directory 認証」または「LDAP 認証」を参照してください。サードパーティー認証については、「Web サーバー認証」を参照してください。

  2. 使用するディレクトリサーバーのルート証明書をインポートします。

    セキュア接続を使用するには、LDAP ディレクトリサーバーまたは Active Directory から提示される証明書を SGD が検証できるようにする必要があります。SGD で使用するすべての Active Directory または LDAP ディレクトリサーバーのルート証明書を、アレイ内のすべての SGD サーバー上の cacerts ファイルにインポートする必要があります。詳細については、「ルート証明書のインポート」を参照してください。

  3. Active Directory 認証のみの場合、アレイ内の SGD サーバーごとにクライアント証明書を作成してインストールし、ドメインの LDAP 署名を有効にします。

    詳細については、「Active Directory 認証で使用するクライアント証明書の作成」を参照してください。

  4. アレイ内の各 SGD サーバーで、SGD セキュリティサービスを有効にして、サーバーを再起動します。

    SGD ホストにスーパーユーザー (root) としてログインします。

    過去のコマンド構文またはプログラムコードのスキップ# tarantella security start
          tarantella restart

ルート証明書のインポート

セキュア接続を使用するには、LDAP ディレクトリサーバーまたは Active Directory から提示される証明書を SGD が検証できるようにする必要があります。そのためには、SGD サーバーで使用される Java™ 2 Runtime Environment (JRE) のキーストア (cacerts ファイル) にルート証明書 (認証局の証明書) をインポートする必要があります。

次のコマンドを使用します。

過去のコマンド構文またはプログラムコードのスキップ/opt/tarantella/bin/jre/bin/keytool -import \
  -keystore /opt/tarantella/bin/jre/lib/security/cacerts \ 
  -storepass changeit \
  -file root_certificate_path \
  -alias alias

次の点に留意してください。

Active Directory 認証で使用するクライアント証明書の作成

Microsoft Active Directory は、Windows 2000/2003 Server の証明書サービスを使って署名された有効なクライアント証明書を持っているサーバーからのセキュア接続だけを受け入れます。つまり、アレイ内の SGD サーバーごとにクライアント証明書を作成し、インストールする必要があります。

keytool アプリケーションを使用して、サーバーのクライアント証明書を作成およびインストールします。詳細については、「Java 2 SDK Tools and Utilities documentation」を参照してください。

サーバーのクライアント証明書は、SGD 証明書ストア /opt/tarantella/var/info/certs/sslkeystore に格納されます。

証明書ストアに対して証明書の追加または削除を行うときは、パスワードを入力する必要があります。sslkeystore のパスワードは、SGD サーバーごとに固有で、/opt/tarantella/var/info/key ファイル内にあります。-storepass および -keypass オプションの両方で、このパスワードを使用します。

SGD サーバーのクライアント証明書を作成してインストールするには、次の手順を実行します。

  1. SGD ホストにスーパーユーザー (root) としてログインします。
  2. クライアント証明書のキーペアを生成します。
    過去のコマンド構文またはプログラムコードのスキップ# /opt/tarantella/bin/jre/bin/keytool -genkey \
      -keyalg rsa \ 
      -keystore /opt/tarantella/var/info/certs/sslkeystore \ 
      -storepass "$(cat /opt/tarantella/var/info/key)" \
      -alias alias \
      -keypass  "$(cat /opt/tarantella/var/info/key)"
  3. クライアント証明書の証明書発行要求 (CSR) を生成します。
    過去のコマンド構文またはプログラムコードのスキップ# /opt/tarantella/bin/jre/bin/keytool -certreq \
      -keystore /opt/tarantella/var/info/certs/sslkeystore \ 
      -storepass "$(cat /opt/tarantella/var/info/key)" \
      -alias alias \
      -keypass  "$(cat /opt/tarantella/var/info/key)" \
      -file path_to_CSR

    キーペアの生成時に使用したエイリアスを指定してください。エイリアスの大文字と小文字は区別されません。

  4. クライアント証明書を作成します。
    1. Internet Explorer を使用して、http://Windows_server/certsrv に移動します。
    2. ログインします。
    3. 「Microsoft 証明書サービス」ページで、「証明書の要求」をクリックします。
    4. 「証明書の要求」ページで、「証明書の要求の詳細設定」をクリックします。
    5. 「証明書の要求の詳細設定」ページで、「Base 64 エンコード CMC または PKCS #10 ファイルを使用して証明書の要求を送信するか、または Base 64 エンコード PKCS #7 ファイルを使用して更新の要求を送信する」をクリックします。
    6. 「証明書の要求または更新要求の送信」ページで、CSR の内容を「保存された要求」ボックスにペーストするか、CSR ファイルをブラウズします。
    7. 「証明書テンプレート」リストから適切なテンプレートを選択します。
    8. 「送信」をクリックします。
    9. 「証明書は発行されました」ページで、Base 64 エンコードが選択されていることを確認し、「証明書のダウンロード」をクリックします。
    10. 証明書ファイルを保存します。
    11. 証明書ファイルを SGD ホストにコピーします。
  5. クライアント証明書をインストールします。
    過去のコマンド構文またはプログラムコードのスキップ# /opt/tarantella/bin/jre/bin/keytool -import \
      -file certificate_path \
      -keystore /opt/tarantella/var/info/certs/sslkeystore \ 
      -storepass "$(cat /opt/tarantella/var/info/key)" \
      -alias alias \
      -keypass  "$(cat /opt/tarantella/var/info/key)"

ドメインの LDAP 署名の有効化

Active Directory 認証の場合、アレイ内のすべての SGD サーバーにクライアント証明書をインストールしたら、ドメインコントローラ上で LDAP 署名を有効にする必要があります。たとえば、次の手順を実行します。

  1. 管理者特権を持つユーザーでドメインコントローラにログインします。
  2. グループポリシーオブジェクトエディタで、「ドメイン セキュリティ ポリシー\ローカル ポリシー\セキュリティ」オプションを選択します。
  3. 「ドメイン コントローラ:LDAP サーバー署名必須」ポリシーを編集して、「署名必須」を選択します。
  4. 「ネットワーク セキュリティ:必須の署名をしている LDAP クライアント」ポリシーを編集して、「署名必須」を選択します。
関連トピック