Active DirectoryにLDAPS通信をしたい

2022年2月5日 2022年6月13日

1 はじめに
2 前提条件
3 Active Directory証明書サービスの構成
4 まとめ

はじめに

Microsoft365やGoogle Workspaceを利用するにあたり、Active Directory上のユーザ情報を利用したい場合はよくあるかと思います。Active Directoryの認証情報を扱う場合はLDAPの通信が発生しますが、社内限定の通信であればLDAP(平文)でも問題ないかと思いますが、外部から社内のActive Directoryの情報を参照させたい場合はLDAPS(暗号化)された通信をさせる必要があります。

今回の記事ではActive DirectoryをLDAPS通信で外部から安全に情報にアクセスさせる方法を記載します。

前提条件

LDAPS通信はSSLの通信になりますのでサーバ証明書が必須になります。Microsoftの世界では以下の形でサーバ証明書が利用できます。

Active Directory 証明書サービス(ADCS)を使ったサーバ証明書
Internet Information Services(IIS)を使ったサーバ証明書
公的機関が発行するサーバ証明書

公的機関が発行する証明書は有料です。この記事ではADCSの自己証明書を使ってLDAPS通信を実現します。

また、ADCSの機能はActive Directoryサーバと同居する形で実装を想定しています。サーバを物理的に別にできる場合は別にしておいた方が良いです。またADCSはドメイン内で1台のみが構成可能です。

LDAPSの通信は3rdパーティ製品のシングルサインオンサービスで利用されることが多々あります。Gluegent GateやCloudgateがこのパターンになります。

Active Directory証明書サービスの構成

サーバマネージャから[管理]-[役割と機能の追加]をクリックします。

開始する前にで[次へ]をクリック、インストールの種類で[次へ]をクリックします。

対象サーバの選択で[次へ]をクリック、サーバの役割選択で[Active Directory証明書サービス]にチェックをして[次へ]をクリックします。

機能の選択で[次へ]をクリック、役割サービスの選択で[証明書機関]にチェックがついていることを確認して[次へ]をクリックします。

インストールオプションの確認で[インストール]をクリックします。インストールが完了したことを確認して[閉じる]をクリックします。

サーバマネージャの[！]フラグアイコンをクリックして、[対象サーバにActive Directory証明書サービスを構成する]をクリックして、展開後の構成をクリックします。

資格情報で[資格情報]にドメイン管理者アカウントを入力し、[次へ]をクリック、役割サービスで[証明機関]にチェックをして[次へ]をクリックします。

※資格情報に入れるドメイン管理者アカウントはEnterprise Adminsグループのメンバーである必要があります。

セットアップの種類で[エンタープライズCA]を選択して[次へ]をクリック、CAの種類で[ルートCA]を選択して[次へ]をクリックします。

秘密キーで[新しい秘密キーを作成する]を選択して[次へ]をクリック、CAの暗号化で[暗号化プロバイダの選択]でRSA#Microsoft Software Key Storage Providerを選択、[キー長]を2048を選択、[このCAから発行された証明書の署名に使用するハッシュアルゴリズム]でSHA256を選択して、[次へ]をクリックします。