-
Language:
日本語
-
Language:
日本語
Red Hat Training
A Red Hat training course is available for Red Hat Directory Server
16.4.2. ステップ 2: Active Directory ドメインの設定
同期は AD ドメインコントローラーでのみ設定できます。さらに、パスワードの複雑さを AD で有効にする必要があります。
パスワードの複雑性を有効にするには、以下を実行します。
- Group Policy Management コンソールを開き、新しい Group Policy Object(GPO)を作成します。詳細は、Windows のドキュメントを参照してください。
- GPO を右クリックし、Edit を選択して Group Policy Management Editor を開きます。
- Computer Configuration → Windows Settings → Security Settings → Account Policies → Password Policy に移動し、Password must meet complexity requirements という名前のポリシーをダブルクリックします。
- ポリシーを有効にし、OK をクリックします。
- Group Policy Management Editor および Group Policy Management コンソールを閉じます。
「Microsoft ナレッジベース」で説明されているように、TLS を設定し、AD サーバーにルート CA を設定します http://technet.microsoft.com/en-us/library/cc772393%28v=ws.10%29.aspx#BKMK_AS1。
- 認証局をインストールします。
- Administrative Tools エリアで Server Manager を開き、ロールを追加します。
- Active Directory Certificate Services チェックボックスを選択します。
- Select Role Services ページをクリックし、Certification Authority チェックボックスを選択します。
- CA の設定時に、適切な画面で以下のオプションを選択します。
- Enterprise (設定タイプの場合)
- オプション設定の認証局の Web 登録
- AD サーバーを再起動します。
- TLS サーバー証明書を使用するように AD サーバーを設定します。
- AD の完全修飾ドメイン名を証明書サブジェクトとして使用し、証明書要求
.inf
を作成します。以下に例を示します。;----------------- request.inf ----------------- [Version] Signature="$Windows NT$ [NewRequest] Subject = "CN=ad.server.example.com, O=Engineering, L=Raleigh, S=North Carolina, C=US" KeySpec = 1 KeyLength = 2048 Exportable = TRUE MachineKeySet = TRUE SMIME = False PrivateKeyArchive = FALSE UserProtected = FALSE UseExistingKeySet = FALSE ProviderName = "Microsoft RSA SChannel Cryptographic Provider" ProviderType = 12 RequestType = PKCS10 KeyUsage = 0xa0 [EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1 ;-----------------------------------------------
- 証明書要求を生成します。
# certreq -new request.inf request.req
- AD CA に要求を送信します。以下に例を示します。
# certreq -submit request.req certnew.cer
注記コマンドラインツールがエラーメッセージを返す場合は、Web ブラウザーを使用して CA にアクセスし、証明書要求を送信します。IIS が実行されている場合、CA URL は http://servername/certsrv になります。 - 証明書要求を受け入れます。以下に例を示します。
# certreq -accept certnew.cer
- サーバー証明書が AD サーバーに存在する。
- Run メニューで MMC コンソールを開きます。
- File メニューで、Add/Remove Snap-in.. をクリックします。
- Certificates snap-in を選択し、Add をクリックしてこれを追加し、Next をクリックします。
- 左側の 証明書(ローカル) メニューを展開します。Personal 項目を展開し、Certificates をクリックします。
- 新しい証明書は他の証明書と共に一覧表示される必要があります。
- Directory Server で、CA 証明書をエクスポートします。
# cd /etc/dirsrv/slapd-instance_name/ # certutil -d . -L -n "CA certificate" -a > dsca.crt
- エクスポートされた証明書を Directory Server から Windows マシンにコピーします。
- Directory Server から AD に CA 証明書をインポートします。
- Administrative Tools を開き、認証局 項目を選択します。
- Trusted Root Certification Authorities を展開します。
- Certificates 項目を右クリックし、Import を選択します。
- ダウンロードした Directory Server CA 証明書を参照し、Next をクリックします。
- CA 証明書を Trusted Root 認証局 ストアに保存します。
- ドメインコントローラーを再起動します。
サーバーが TLS で正しく実行されていることをテストするには、AD を LDAPS で検索してみてください。