LDAPSの構成
セキュアLDAP (LDAPS) を使用すると、Active Directory管理ドメインでセキュアな軽量ディレクトリアクセスプロトコルを有効にし、SSL (Secure Socket Layer)/TLS (Transport Layer Security) を介した通信を提供できます。
- デフォルトでは、クライアントとサーバーアプリケーション間のLDAP通信は暗号化されていません。SSL/TLSを使用するLDAP (LDAPS) を使用すると、Linux VDAとLDAPサーバー間のLDAPクエリコンテンツを保護できます。
以下のLinux VDAコンポーネントはLDAPSに依存します。
- ブローカーエージェント: Delivery Controller™へのLinux VDA登録
-
ポリシーサービス: ポリシー評価
-
LDAPSの構成には以下が含まれます。
- Active Directory (AD)/LDAPサーバーでのLDAPSの有効化
- クライアント使用のためのルートCAのエクスポート
- Linux VDAでのLDAPSの有効化/無効化
- サードパーティプラットフォームでのLDAPSの構成
- SSSDの構成
- Winbindの構成
- Centrifyの構成
- Questの構成
注:
以下のコマンドを実行して、LDAPサーバーの監視サイクルを設定できます。デフォルト値は15分です。少なくとも10分に設定してください。
```
/opt/Citrix/VDA/sbin/enable_ldaps.sh -Enable pathToRootCA
<!--NeedCopy--> ```
AD/LDAPサーバーでのLDAPSの有効化
Microsoft証明機関 (CA) またはMicrosoft以外のCAから適切にフォーマットされた証明書をインストールすることで、LDAP over SSL (LDAPS) を有効にできます。
ヒント:
> ドメインコントローラーにエンタープライズルートCAをインストールすると、LDAP over SSL/TLS (LDAPS) は自動的に有効になります。
証明書のインストール方法とLDAPS接続の検証方法の詳細については、Microsoftサポートサイトの「How to enable LDAP over SSL with a third-party certification authority」を参照してください。
多層 (2層または3層など) の証明機関階層を使用している場合、ドメインコントローラーでのLDAPS認証に適切な証明書が自動的に提供されるわけではありません。
多層証明機関階層を使用するドメインコントローラーでLDAPSを有効にする方法については、Microsoft TechNetサイトの「LDAP over SSL (LDAPS) Certificate」記事を参照してください。
クライアント使用のためのルート証明機関の有効化
クライアントは、LDAPサーバーが信頼するCAからの証明書を使用する必要があります。クライアントのLDAPS認証を有効にするには、ルートCA証明書を信頼されたキーストアにインポートします。
ルートCAのエクスポート方法の詳細については、MicrosoftサポートWebサイトの「How to export Root Certification Authority Certificate」を参照してください。
Linux VDAでのLDAPSの有効化または無効化
Linux VDAでLDAPSを有効または無効にするには、(管理者としてログオンした状態で) 以下のスクリプトを実行します。
このコマンドの構文には以下が含まれます。
提供されたルートCA証明書を使用してLDAP over SSL/TLSを有効にする:
```
/opt/Citrix/VDA/sbin/enable_ldaps.sh -Enable pathToRootCA
<!--NeedCopy--> ```
-
チャネルバインディングを使用してLDAP over SSL/TLSを有効にする:
/opt/Citrix/VDA/sbin/enable_ldaps.sh -Enablecb pathToRootCA <!--NeedCopy-->注:
チャネルバインディング用のルートCA証明書はPEM形式である必要があります。LDAPSを有効にしてもPython3仮想環境が正常に作成されない場合は、Python3仮想環境の作成の手順に従って手動で作成してください。
pipツールを使用する際に発生する可能性のあるSSL接続エラーに対処するには、以下の信頼済みホストを/etc/pip.confファイルに追加することを検討してください。
[global] -
trusted-host =pypi.orgfiles.pythonhosted.org - SSL/TLSなしのLDAPにフォールバックする
/opt/Citrix/VDA/sbin/enable_ldaps.sh -Disable
<!--NeedCopy-->
LDAPS専用のJavaキーストアは /etc/xdl/.keystore にあります。影響を受けるレジストリキーは次のとおりです。
HKLM\Software\Citrix\VirtualDesktopAgent\ListOfLDAPServers
HKLM\Software\Citrix\VirtualDesktopAgent\ListOfLDAPServersForPolicy
HKLM\Software\Citrix\VirtualDesktopAgent\UseLDAPS
HKLM\Software\Policies\Citrix\VirtualDesktopAgent\Keystore
HKLM\Software\Citrix\VirtualDesktopAgent\EnableChannelBinding
<!--NeedCopy-->
-
サードパーティプラットフォームでのLDAPSの構成
-
Linux VDAコンポーネントの他に、VDAに準拠するいくつかのサードパーティ製ソフトウェアコンポーネント (SSSD、Winbind、Centrify、Questなど) もセキュアLDAPを必要とする場合があります。以下のセクションでは、LDAPS、STARTTLS、またはSASLサインアンドシールを使用してセキュアLDAPを構成する方法について説明します。
-
ヒント:
-
これらのソフトウェアコンポーネントのすべてが、セキュアLDAPを確保するためにSSLポート636の使用を推奨しているわけではありません。また、ほとんどの場合、LDAPS (ポート636のLDAP over SSL) はポート389のSTARTTLSと共存できません。
SSSD
オプションに従って、ポート636またはポート389でSSSDセキュアLDAPトラフィックを構成します。詳細については、SSSD LDAP Linux manページを参照してください。
Winbind
Winbind LDAPクエリはADSメソッドを使用します。Winbindはポート389でのStartTLSメソッドのみをサポートします。影響を受ける構成ファイルは、/etc/samba/smb.conf および /etc/openldap/ldap.conf (RHELの場合) または /etc/ldap/ldap.conf (Ubuntuの場合) です。ファイルを次のように変更します。
-
smb.conf
ldap ssl = start tlsldap ssl ads = yesclient ldap sasl wrapping = plain -
ldap.conf
TLS_REQCERT never
あるいは、SASL GSSAPIサインアンドシールによってセキュアLDAPを構成できますが、TLS/SSLとは共存できません。SASL暗号化を使用するには、smb.conf構成を変更します。
ldap ssl = off
ldap ssl ads = no
client ldap sasl wrapping = seal
Centrify
Centrifyはポート636でのLDAPSをサポートしていません。ただし、ポート389でセキュアな暗号化を提供します。詳細については、Centrifyサイトを参照してください。
Quest
Quest Authentication Serviceはポート636でのLDAPSをサポートしていませんが、異なるメソッドを使用してポート389でセキュアな暗号化を提供します。
トラブルシューティング
この機能を使用する際に、以下の問題が発生する可能性があります。
-
LDAPSサービスの可用性
AD/LDAPサーバーでLDAPS接続が利用可能であることを確認します。デフォルトではポート636です。
-
LDAPSが有効な場合のLinux VDA登録の失敗
LDAPサーバーとポートが正しく構成されていることを確認します。まずルートCA証明書を確認し、AD/LDAPサーバーと一致していることを確認します。
-
誤って行われた不正確なレジストリ変更
enable_ldaps.shを使用せずにLDAPS関連のキーが誤って更新された場合、LDAPSコンポーネントの依存関係が損なわれる可能性があります。
-
Wiresharkまたはその他のネットワーク監視ツールからのSSL/TLSによるLDAPトラフィックの暗号化の失敗
デフォルトでは、LDAPSは無効になっています。/opt/Citrix/VDA/sbin/enable_ldaps.shを実行して強制的に有効にします。
-
Wiresharkまたはその他のネットワーク監視ツールからのLDAPSトラフィックがない
LDAP/LDAPSトラフィックは、Linux VDA登録とグループポリシー評価が発生したときに発生します。
-
ADサーバーでldp connectを実行してLDAPSの可用性を検証するのに失敗した
IPアドレスの代わりにAD FQDNを使用します。
-
/opt/Citrix/VDA/sbin/enable_ldaps.shスクリプトを実行してルートCA証明書をインポートするのに失敗したCA証明書のフルパスを指定し、ルートCA証明書が正しいタイプであることを確認します。ほとんどのJava Keytoolでサポートされているタイプと互換性があるはずです。サポートリストにない場合は、まずタイプを変換できます。証明書形式の問題が発生した場合は、base64エンコードされたPEM形式を推奨します。
-
Keytool -listでルートCA証明書を表示するのに失敗した
/opt/Citrix/VDA/sbin/enable_ldaps.shを実行してLDAPSを有効にすると、証明書は/etc/xdl/.keystoreにインポートされ、キーストアを保護するためにパスワードが設定されます。パスワードを忘れた場合は、スクリプトを再実行してキーストアを作成できます。