This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
LDAPS
LDAPSは、軽量ディレクトリアクセスプロトコル (LDAP) の安全なバージョンであり、LDAP通信はTLS/SSLを使用して暗号化されます。
- デフォルトでは、クライアントとサーバーアプリケーション間のLDAP通信は暗号化されません。LDAPSを使用すると、Linux VDAとLDAPサーバー間のLDAPクエリの内容を保護できます。
以下のLinux VDAコンポーネントはLDAPSに依存関係があります。
- ブローカーエージェント: Delivery Controller™へのLinux VDA登録
-
ポリシーサービス: ポリシー評価
-
LDAPSの構成には以下が含まれます。
- Active Directory (AD)/LDAPサーバーでLDAPSを有効にする
- クライアントで使用するためにルートCAをエクスポートする
- Linux VDAでLDAPSを有効/無効にする
- サードパーティプラットフォーム向けにLDAPSを構成する
- SSSDを構成する
- Winbindを構成する
- Centrifyを構成する
- Questを構成する
注:
以下のコマンドを実行して、LDAPサーバーの監視サイクルを設定できます。デフォルト値は15分です。少なくとも10分に設定してください。
``` #CTX_LDAPS_KEYSTORE_PASSWORD=
#CTX_LDAPS_LDAP_SERVERS=
## AD/LDAPサーバーでLDAPSを有効にする
Microsoft証明機関 (CA) または非Microsoft CAのいずれかから適切にフォーマットされた証明書をインストールすることで、LDAP over SSL (LDAPS) を有効にできます。
> **ヒント:**
>
> ドメインコントローラーにエンタープライズルートCAをインストールすると、LDAPSは自動的に有効になります。
証明書のインストール方法とLDAPS接続の確認方法について詳しくは、[サードパーティ証明機関でLDAP over SSLを有効にする方法](https://support.microsoft.com/ja-jp/kb/321051)を参照してください。
多層証明機関階層を使用している場合、ドメインコントローラーでのLDAPS認証用の適切な証明書を自動的に取得することはできません。
多層証明機関階層を使用してドメインコントローラーでLDAPSを有効にする方法について詳しくは、「[LDAP over SSL (LDAPS) 証明書](http://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx)」の記事を参照してください。
## クライアントで使用するためのルート証明機関の有効化
クライアントは、LDAPサーバーが信頼するCAからの証明書を使用する必要があります。クライアントのLDAPS認証を有効にするには、ルートCA証明書を信頼されたキーストアにインポートします。
ルートCAのエクスポート方法について詳しくは、MicrosoftサポートWebサイトの「[ルート証明機関証明書をエクスポートする方法](https://support.microsoft.com/ja-jp/kb/555252)」を参照してください。
## Linux VDAでのLDAPSの有効化または無効化
Linux VDAでLDAPSを有効または無効にするには、**enable\_ldaps.sh**スクリプト (管理者としてログオンしている間) を実行します。**enable\_ldaps.sh**スクリプトを非対話モードで実行するには、以下の変数を環境にエクスポートします。
#CTX_LDAPS_KEYSTORE_PASSWORD=
#CTX_LDAPS_LDAP_SERVERS=
- 提供されたルートCA証明書を使用してLDAP over SSL/TLSを有効にするには (LDAPチャネルバインディングがサポートされています):
```
/opt/Citrix/VDA/sbin/enable_ldaps.sh -Enable pathToRootCA
<!--NeedCopy-->
-
SSL/TLSなしでLDAPにフォールバックするには
/opt/Citrix/VDA/sbin/enable_ldaps.sh -Disable <!--NeedCopy-->
LDAPS専用のJavaキーストアは/etc/xdl/.keystoreにあります。影響を受けるレジストリキーは次のとおりです。
HKLM\Software\Citrix\VirtualDesktopAgent\ListOfLDAPServers
HKLM\Software\Citrix\VirtualDesktopAgent\ListOfLDAPServersForPolicy
HKLM\Software\Citrix\VirtualDesktopAgent\UseLDAPS
HKLM\Software\Policies\Citrix\VirtualDesktopAgent\Keystore
HKLM\Software\Citrix\VirtualDesktopAgent\EnableChannelBinding
<!--NeedCopy-->
-
サードパーティプラットフォーム向けLDAPSの構成
-
Linux VDAコンポーネントの他に、VDAに準拠するいくつかのサードパーティソフトウェアコンポーネントも、SSSD、Winbind、Centrify、Questなど、セキュアなLDAPを必要とする場合があります。以下のセクションでは、LDAPS、STARTTLS、またはSASL署名とシーリングを使用してセキュアなLDAPを構成する方法について説明します。
-
ヒント:
-
これらのソフトウェアコンポーネントのすべてが、セキュアなLDAPを確保するためにSSLポート636を使用することを好むわけではありません。また、ほとんどの場合、LDAPS (ポート636でのLDAP over SSL) はポート389でのSTARTTLSと共存できません。
SSSD
オプションに従って、ポート636またはポート389でSSSDセキュアLDAPトラフィックを構成します。詳しくは、SSSD LDAP Linux manページを参照してください。
Winbind
Winbind LDAPクエリはADSメソッドを使用します。Winbindはポート389でのStartTLSメソッドのみをサポートします。影響を受ける構成ファイルは/etc/samba/smb.confおよび/etc/openldap/ldap.conf (Amazon Linux 2、RHEL、Rocky Linux、CentOS、SUSEの場合)、または/etc/ldap/ldap.conf (DebianおよびUbuntuの場合) です。ファイルを次のように変更します。
-
smb.conf
ldap ssl = start tlsldap ssl ads = yesclient ldap sasl wrapping = plain -
ldap.conf
TLS_REQCERT never
あるいは、SASL GSSAPI署名とシーリングによってセキュアなLDAPを構成できますが、TLS/SSLとは共存できません。SASL暗号化を使用するには、smb.conf構成を変更します。
ldap ssl = off
ldap ssl ads = no
client ldap sasl wrapping = seal
Centrify
Centrifyはポート636でのLDAPSをサポートしていません。ただし、ポート389でセキュアな暗号化を提供します。詳しくは、Centrifyサイトを参照してください。
Quest
Quest Authentication Serviceはポート636でのLDAPSをサポートしていませんが、別の方法を使用してポート389でセキュアな暗号化を提供します。
トラブルシューティング
この機能を使用すると、以下の問題が発生する可能性があります。
-
LDAPSサービスの可用性
AD/LDAPサーバーでLDAPS接続が利用可能であることを確認します。デフォルトではポート636です。
-
LDAPSが有効な場合にLinux VDA登録が失敗しました
LDAPサーバーとポートが正しく構成されていることを確認します。まずルートCA証明書を確認し、AD/LDAPサーバーと一致することを確認します。
-
誤って行われたレジストリ変更
enable_ldaps.shを使用せずに誤ってLDAPS関連のキーを更新した場合、LDAPSコンポーネントの依存関係が壊れる可能性があります。
-
Wiresharkまたはその他のネットワーク監視ツールからSSL/TLSを介してLDAPトラフィックが暗号化されていません
デフォルトでは、LDAPSは無効になっています。/opt/Citrix/VDA/sbin/enable_ldaps.shを実行して強制的に有効にします。
-
Wiresharkまたはその他のネットワーク監視ツールからLDAPSトラフィックがありません
LDAP/LDAPSトラフィックは、Linux VDA登録とグループポリシー評価が発生したときに発生します。
-
ADサーバーでldp connectを実行してLDAPSの可用性を確認できませんでした
IPアドレスの代わりにAD FQDNを使用します。
-
/opt/Citrix/VDA/sbin/enable_ldaps.shスクリプトを実行してルートCA証明書のインポートに失敗しました
CA証明書のフルパスを指定し、ルートCA証明書が正しいタイプであることを確認します。これは、サポートされているほとんどのJava Keytoolタイプと互換性があるはずです。サポートリストにない場合は、まずタイプを変換できます。証明書形式の問題が発生した場合は、base64エンコードされたPEM形式をお勧めします。
-
Keytool -listでルートCA証明書を表示できませんでした
/opt/Citrix/VDA/sbin/enable_ldaps.shを実行してLDAPSを有効にすると、証明書は/etc/xdl/.keystoreにインポートされ、キーストアを保護するためにパスワードが設定されます。パスワードを忘れた場合は、スクリプトを再実行してキーストアを作成できます。
共有
共有
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.