Red Hat Training

A Red Hat training course is available for Red Hat Directory Server

16.4.2. ステップ 2: Active Directory ドメインの設定

同期は AD ドメインコントローラーでのみ設定できます。さらに、パスワードの複雑さを AD で有効にする必要があります。
パスワードの複雑性を有効にするには、以下を実行します。
  1. Group Policy Management コンソールを開き、新しい Group Policy Object(GPO)を作成します。詳細は、Windows のドキュメントを参照してください。
  2. GPO を右クリックし、Edit を選択して Group Policy Management Editor を開きます。
  3. Computer ConfigurationWindows SettingsSecurity SettingsAccount PoliciesPassword Policy に移動し、Password must meet complexity requirements という名前のポリシーをダブルクリックします。
  4. ポリシーを有効にし、OK をクリックします。
  5. Group Policy Management Editor および Group Policy Management コンソールを閉じます。
「Microsoft ナレッジベース」で説明されているように、TLS を設定し、AD サーバーにルート CA を設定します http://technet.microsoft.com/en-us/library/cc772393%28v=ws.10%29.aspx#BKMK_AS1
  1. 認証局をインストールします。
    1. Administrative Tools エリアで Server Manager を開き、ロールを追加します。
    2. Active Directory Certificate Services チェックボックスを選択します。
    3. Select Role Services ページをクリックし、Certification Authority チェックボックスを選択します。
    4. CA の設定時に、適切な画面で以下のオプションを選択します。
      • Enterprise (設定タイプの場合)
      • オプション設定の認証局の Web 登録
    5. AD サーバーを再起動します。
  2. TLS サーバー証明書を使用するように AD サーバーを設定します。
    1. AD の完全修飾ドメイン名を証明書サブジェクトとして使用し、証明書要求 .inf を作成します。以下に例を示します。 
      ;----------------- request.inf -----------------

[Version]

Signature="$Windows NT$

[NewRequest]

Subject = "CN=ad.server.example.com, O=Engineering, L=Raleigh, S=North Carolina, C=US"
KeySpec = 1
KeyLength = 2048
Exportable = TRUE
MachineKeySet = TRUE
SMIME = False
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = PKCS10
KeyUsage = 0xa0

[EnhancedKeyUsageExtension]

OID=1.3.6.1.5.5.7.3.1

;-----------------------------------------------
    2. 証明書要求を生成します。 
      # certreq -new request.inf request.req
    3. AD CA に要求を送信します。以下に例を示します。 
      # certreq -submit request.req certnew.cer
      注記
      コマンドラインツールがエラーメッセージを返す場合は、Web ブラウザーを使用して CA にアクセスし、証明書要求を送信します。IIS が実行されている場合、CA URL は http://servername/certsrv になります。
    4. 証明書要求を受け入れます。以下に例を示します。 
      # certreq -accept certnew.cer
  3. サーバー証明書が AD サーバーに存在する。
    1. Run メニューで MMC コンソールを開きます。
    2. File メニューで、Add/Remove Snap-in.. をクリックします。
    3. Certificates snap-in を選択し、Add をクリックしてこれを追加し、Next をクリックします。
    4. 左側の 証明書(ローカル) メニューを展開します。Personal 項目を展開し、Certificates をクリックします。
    5. 新しい証明書は他の証明書と共に一覧表示される必要があります。
  4. Directory Server で、CA 証明書をエクスポートします。 
    # cd /etc/dirsrv/slapd-instance_name/
# certutil -d . -L -n "CA certificate" -a > dsca.crt
  5. エクスポートされた証明書を Directory Server から Windows マシンにコピーします。
  6. Directory Server から AD に CA 証明書をインポートします。
    1. Administrative Tools を開き、認証局 項目を選択します。
    2. Trusted Root Certification Authorities を展開します。
    3. Certificates 項目を右クリックし、Import を選択します。
    4. ダウンロードした Directory Server CA 証明書を参照し、Next をクリックします。
    5. CA 証明書を Trusted Root 認証局 ストアに保存します。
  7. ドメインコントローラーを再起動します。
サーバーが TLS で正しく実行されていることをテストするには、AD を LDAPS で検索してみてください。