翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AD Connector LDAPSを使用したクライアント側の有効化
AD Connector でのクライアント側のLDAPSサポートにより、 間の通信が暗号化されます。Microsoft Active Directory (AD) と AWS アプリケーション。このようなアプリケーションの例としては WorkSpaces、 AWS IAM Identity Center、Amazon QuickSight、Amazon Chime などがあります。この暗号化により、組織の ID データの保護を強化し、セキュリティ要件を満たすことができます。
また、クライアント側の の登録解除や無効化もできますLDAPS。
前提条件
クライアント側の を有効にする前にLDAPS、次の要件を満たす必要があります。
Active Directory にサーバー証明書をデプロイする
クライアント側の を有効にするにはLDAPS、Active Directory の各ドメインコントローラーのサーバー証明書を取得してインストールする必要があります。これらの証明書は、LDAPクライアントからのSSL接続をリッスンして自動的に受け入れるためにLDAPサービスによって使用されます。社内の Active Directory Certificate Services (ADCS) デプロイによって発行されたSSL証明書、または商用発行者から購入した証明書を使用できます。Active Directory サーバー証明書の要件の詳細については、Microsoft ウェブサイトの「 LDAP経由 SSL (LDAPS) 証明書
CA 証明書の要件
クライアント側のLDAPSオペレーションには、サーバー証明書の発行者を表す認証局 (CA) 証明書が必要です。CA 証明書は、LDAP通信を暗号化するために Active Directory ドメインコントローラーによって提示されるサーバー証明書と照合されます。次の CA 証明書の要件に注意してください。
-
証明書を登録するには、有効期限までに 90 日超の期間があることが必要です。
-
証明書は、プライバシー強化メール (PEM) 形式である必要があります。Active Directory 内から CA 証明書をエクスポートする場合は、エクスポートファイル形式として base64 エンコードされた X.509 (.CER) を選択します。
-
AD Connector ディレクトリごとに最大 5 個の CA 証明書を保存できます。
-
RSASSA-PSS 署名アルゴリズムを使用する証明書はサポートされていません。
ネットワーク要件
AWS アプリケーションLDAPトラフィックはTCPポート 636 でのみ実行され、LDAPポート 389 へのフォールバックはありません。ただし、レプリケーション、信頼などをサポートする Windows LDAP通信では、Windows ネイティブセキュリティでLDAPポート 389 が引き続き使用されます。AD Connector (アウトバウンド) とセルフマネージド Active Directory (インバウンド) のポート 636 でのTCP通信を許可するように AWS セキュリティグループとネットワークファイアウォールを設定します。
クライアント側の有効化 LDAPS
クライアント側の を有効にするにはLDAPS、認証局 (CA) 証明書を AD Connector にインポートし、ディレクトリLDAPSで を有効にします。有効にすると、 AWS アプリケーションとセルフマネージド Active Directory 間のすべてのLDAPトラフィックは、Secure Sockets Layer (SSL) チャネル暗号化で流れます。
ディレクトリLDAPSのクライアント側を有効にするには、2 つの異なる方法を使用できます。 AWS Management Console メソッドまたは AWS CLI メソッドを使用できます。
で証明書を登録する AWS Directory Service
次のいずれかの方法を使用して、 に証明書を登録します AWS Directory Service。
方法 1: ( AWS Directory ServiceAWS Management Console) に証明書を登録するには
-
AWS Directory Service コンソール
のナビゲーションペインで、[Directories] (ディレクトリ) をクリックします。 -
ディレクトリのディレクトリ ID リンクを選択します。
-
[Directory details] (ディレクトリの詳細) ページで、[Networking & security] (ネットワークとセキュリティ) タブを選択します。
-
クライアント側LDAPSセクションで、アクションメニューを選択し、証明書の登録 を選択します。
-
[Register a CA certificate] (CA 証明書を登録する) ダイアログボックスで [Browse] (参照) をクリックしてから、証明書を選択し、[Open] (開く) をクリックします。
-
[Register certificate] (証明書の登録) を選択します。
方法 2: ( AWS Directory ServiceAWS CLI) に証明書を登録するには
-
次のコマンドを実行します。証明書データについては、CA 証明書ファイルの場所を指定します。証明書 ID がレスポンスとして提供されます。
aws ds register-certificate --directory-idyour_directory_id--certificate-data file://your_file_path
登録ステータスの確認
証明書登録のステータスまたは登録済み証明書のリストを表示するには、次のいずれかの方法を使用します。
方法 1: AWS Directory Service (AWS Management Console) で証明書登録ステータスを確認するには
-
ディレクトリの詳細ページのクライアント側LDAPSセクションに移動します。
-
[Registration status] (登録ステータス) 列に表示される現在の証明書登録状態を確認します。登録ステータスの値が [Registered] (登録済み) に変わると、証明書は正常に登録されています。
方法 2: AWS Directory Service (AWS CLI) で証明書登録ステータスを確認するには
-
以下のコマンドを実行します。ステータス値として
Registeredが返される場合、証明書は正常に登録されています。aws ds list-certificates --directory-idyour_directory_id
クライアント側の有効化 LDAPS
次のいずれかの方法を使用して、 LDAPSでクライアント側を有効にします AWS Directory Service。
注記
クライアント側の を有効にするには、少なくとも 1 つの証明書が正常に登録されている必要がありますLDAPS。
方法 1: AWS Directory Service (AWS Management Console) LDAPSでクライアント側を有効にするには
-
ディレクトリの詳細ページのクライアント側LDAPSセクションに移動します。
-
[Enable] (有効化) を選択します。このオプションを使用できない場合は、有効な証明書が正常に登録されていることを確認してから、もう一度やり直してください。
-
クライアント側の有効化LDAPSダイアログボックスで、 を有効にする を選択します。
方法 2: AWS Directory Service (AWS CLI) LDAPSでクライアント側を有効にするには
-
以下のコマンドを実行します。
aws ds enable-ldaps --directory-idyour_directory_id--type Client
LDAPS ステータスの確認
次のいずれかの方法を使用して、 LDAPSのステータスを確認します AWS Directory Service。
方法 1: AWS Directory Service (AWS Management Console) でLDAPSステータスを確認するには
-
ディレクトリの詳細ページのクライアント側LDAPSセクションに移動します。
-
ステータス値が Enabled と表示されている場合、 LDAPS は正常に設定されました。
方法 2: AWS Directory Service (AWS CLI) でLDAPSステータスを確認するには
-
以下のコマンドを実行します。ステータス値が を返す場合
Enabled、 LDAPS は正常に設定されました。aws ds describe-ldaps-settings –directory-idyour_directory_id
クライアント側のLDAPS証明書の表示、LDAPS証明書の登録解除または無効化の詳細については、「」を参照してくださいクライアント側の管理 LDAPS。
