Secure Global Desktop 4.31 管理者ガイド > セキュリティー > Active Directory および LDAP ディレクトリサーバーへの接続の保護

Active Directory および LDAP ディレクトリサーバーへの接続の保護

Secure Global Desktop セキュリティーサービスを使って、Microsoft Active Directory を含む LDAP ディレクトリサーバーへの接続を保護できます。LDAP 接続は、次の認証機構で使用されます。

• Active Directory ログイン認証機能
• LDAP ログイン認証機能
• Web サーバー/サードパーティーの認証 (LDAP ユーザー識別情報マッピング検索方式を使用する場合のみ)

これらの接続を保護するには、次の手順を実行します。

1. Secure Global Desktop セキュリティーサービスを使用可能にします。
2. Array Manager で、LDAP または Active Directory へのセキュア接続を設定します。
3. 使用するディレクトリサーバーのルート証明書をインポートします。
4. Microsoft Active Directory の場合は、アレイ内の各 Secure Global Desktop サーバーのクライアント証明書を作成してインストールします。
5. Active Directory ログイン認証機能の場合は、ドメインの LDAP 証明要件を有効にします。
6. tarantella restart コマンドを使って、アレイの各 Secure Global Desktop サーバーを再起動します。

手順 2 ～ 5 に必要な設定については、これから説明します。

Array Manager での LDAP および Active Directory へのセキュア接続の設定

必要な設定は、Array Manager でどの認証機構が有効に設定されているかにより異なります。

Active Directory ログイン認証機能

1. Array Manager で、「Secure Global Desktop Login」プロパティーを選択します。
2. 「URL」フィールドに、ad://east.indigo-insurance.com のように Active Directory ドメインの名前を入力します。
   入力できる URL は 1 つだけです。URL は、 ad:// で始まっている必要があります。
3. 「Use Certicates」ボックスにチェックマークを付けます。
4. 「Apply」をクリックします。

LDAP ログイン認証機能および Web サーバー/サードパーティーの認証

1. Array Manager で、「Secure Global Desktop Login」プロパティーを選択します。
2. URL フィールドに、1 つ以上の LDAP ディレクトリサーバーの URL を入力します (例: ldaps://melbourne.indigo-insurance.com)。
   • URL は、ldaps:// で始まっている必要があります。
   • 各 URL はセミコロンで区切ります。
   • 複数の URL を入力する場合、URL は記載された順序で使用されます。リストの最初の LDAP ディレクトリサーバーが使用できない場合、Secure Global Desktop はリスト内の次の LDAP ディレクトリサーバーを試します。
   • LDAP ディレクトリサーバーへの接続に使用される標準ポートは、636/tcp です。LDAP ディレクトリサーバーが別のポートを使用する場合は、ポート番号を URL に含める必要があります (例: ldaps://melbourne.indigo-insurance.com:5678)。
   • LDAP ログイン認証機能は通常、LDAP ディレクトリ全体を検索します。URL の最後にサーチルートを追加することにより、LDAP ディレクトリ上の検索対象を制限できます (例: ldaps://melbourne.indigo-insurance.com/dc=indigo-insurance,dc=com)。
3. 「Apply」をクリックします。

ルート証明書のインポート

セキュア接続を使用するには、LDAP ディレクトリサーバーまたは Active Directory から提示される証明書を Secure Global Desktop が検証できるようにする必要があります。そのためには、Secure Global Desktop サーバーで使用される Java™ 2 Runtime Environment (JRE) のキーストア (cacerts ファイル) にルート証明書 (認証局の証明書) をインポートする必要があります。

次のコマンドを実行します。

/opt/tarantella/bin/jre/bin/keytool -import \
  -keystore /opt/tarantella/bin/jre/lib/security/cacerts \ 
  -storepass changeit
  -file root_certificate_path \
  -alias alias

注:

• keytool アプリケーションの使用方法については、「Java 2 SDK Tools and Utilities documentation」を参照してください。
• -alias オプションを使って、証明書を一意に識別します。
• Secure Global Desktop で使用するすべての Active Directory または LDAP ディレクトリサーバーのルート証明書をインポートします。
• アレイのすべてのメンバーの cacerts ファイルに証明書をインポートします。

Microsoft Active Directory で使用するクライアント証明書の作成

Microsoft Active Directory は、Windows 2000/2003 Server の証明書サービスを使って署名された有効なクライアント証明書を持っているサーバーからのセキュア接続だけを受け入れます。つまり、アレイの各メンバーのクライアント証明書を作成し、インストールする必要があります。

keytool アプリケーションを使用して、サーバーのクライアント証明書を作成およびインストールします。詳細については、「Java 2 SDK Tools and Utilities documentation」を参照してください。

サーバーのクライアント証明書は、Secure Global Desktop 証明書ストア /opt/tarantella/var/info/certs/sslkeystore に格納されます。

証明書ストアに対して証明書の追加または削除を行うときは、パスワードを入力する必要があります。sslkeystore のパスワードは、Secure Global Desktop サーバーごとに固有で、/opt/tarantella/var/info/key ファイル内にあります。-storepass および -keypass オプションの両方で、このパスワードを使用します。

クライアント証明書を作成およびインストールするには、次の手順を実行します。

1. クライアント証明書のキーペアを生成します。
2. クライアント証明書の証明書発行要求を生成します。
3. クライアント証明書を作成します。
4. クライアント証明書をインストールします。

クライアント証明書のキーペアの生成

次のコマンドを実行して、クライアント証明書のキーペアを生成します。

/opt/tarantella/bin/jre/bin/keytool -genkey \
  -keyalg rsa \ 
  -keystore /opt/tarantella/var/info/certs/sslkeystore \ 
  -storepass password \
  -alias alias \
  -keypass  password

クライアント証明書の証明書発行要求の生成

次のコマンドを実行して、クライアント証明書の証明書発行要求 (CSR) を生成します。

/opt/tarantella/bin/jre/bin/keytool -certreq \
  -keystore /opt/tarantella/var/info/certs/sslkeystore \ 
  -storepass server_password \
  -alias alias \
  -keypass  server_password
  -file path_to_CSR

キーペアの生成時に使用したエイリアスを指定してください。エイリアスの大文字と小文字は区別されません。

クライアント証明書の作成

1. Internet Explorer を使用して、http://Windows_server/certsrv に移動します。
2. ログインします。
3. 「Microsoft 証明書サービス」ページで、「証明書の要求」をクリックします。
4. 「証明書の要求」ページで、「証明書の要求の詳細設定」をクリックします。
5. 「証明書の要求の詳細設定」ページで、「Base 64 エンコード CMC または PKCS #10 ファイルを使用して証明書の要求を送信するか、または Base 64 エンコード PKCS #7 ファイルを使用して更新の要求を送信する」をクリックします。
6. 「証明書の要求または更新要求の送信」ページで、CSR の内容を「保存された要求」ボックスにペーストするか、CSR ファイルをブラウズします。
7. 「証明書テンプレート」リストから適切なテンプレートを選択します。
8. 「送信」をクリックします。
9. 「証明書は発行されました」ページで、Base 64 エンコードが選択されていることを確認し、「証明書チェーンのダウンロード」をクリックします。
10. 証明書ファイルを保存します。

クライアント証明書のインストール

次のコマンドを実行して、Secure Global Desktop サーバーのクライアント証明書をインストールします。

/opt/tarantella/bin/jre/bin/keytool -import \
  -file certificate_path \
  -keystore /opt/tarantella/var/info/certs/sslkeystore \ 
  -storepass server_password \
  -alias alias \
  -keypass  server_password

ドメインの LDAP 署名の有効化

Active Directory ログイン認証機能の場合、ドメインコントローラ上で LDAP 署名を有効にする必要があります。次に例を示します。

1. 管理者特権を持つユーザーでドメインコントローラにログインします。
2. グループポリシーオブジェクトエディタで、「ドメイン セキュリティ ポリシー\ローカル ポリシー\セキュリティ」オプションを選択します。
3. 「ドメイン コントローラ: LDAP サーバー署名必須」ポリシーを編集して、「署名必須」を選択します。
4. 「ネットワーク セキュリティ: 必須の署名をしている LDAP クライアント」ポリシーを編集して、「署名必須」を選択します。

Copyright © 1997-2006 Sun Microsystems, Inc. All rights reserved.