LDAPS
LDAPSは、LDAP通信がTLS/SSLを使用して暗号化される、Lightweight Directory Access Protocol(LDAP)のセキュアバージョンです。
デフォルトでは、クライアントとサーバーアプリケーション間のLDAP通信は暗号化されていません。LDAPSを使用すると、Linux VDAとLDAPサーバー間のLDAPクエリコンテンツを保護できます。
-
以下のLinux VDAコンポーネントはLDAPSに依存しています。
- ブローカーエージェント:Delivery Controller™へのLinux VDA登録
-
ポリシーサービス:ポリシー評価
-
LDAPSの構成には以下が含まれます。
- Active Directory(AD)/LDAPサーバーでのLDAPSの有効化
- クライアント使用のためのルートCAのエクスポート
- Linux VDAでのLDAPSの有効化/無効化
- サードパーティプラットフォーム向けのLDAPSの構成
- SSSDの構成
- Winbindの構成
- Centrifyの構成
- Questの構成
注:
以下のコマンドを実行して、LDAPサーバーの監視サイクルを設定できます。デフォルト値は15分です。少なくとも10分に設定してください。
/opt/Citrix/VDA/bin/ctxreg create -k "HKLM\Software\Citrix\VirtualDesktopAgent" -v "ListOfLDAPServersMonitorPeroid" -t "REG_DWORD" -d "0x0000000f" --force <!--NeedCopy-->
AD/LDAPサーバーでのLDAPSの有効化
Microsoft証明機関(CA)またはMicrosoft以外のCAのいずれかから適切にフォーマットされた証明書をインストールすることで、LDAP over SSL(LDAPS)を有効にできます。
ヒント:
ドメインコントローラーにエンタープライズルートCAをインストールすると、LDAPSは自動的に有効になります。
証明書のインストール方法およびLDAPS接続の確認方法について詳しくは、「How to enable LDAP over SSL with a third-party certification authority」を参照してください。
- 多層証明機関階層を使用している場合、ドメインコントローラー上のLDAPS認証に適した証明書が自動的に提供されるわけではありません。
多層証明機関階層を使用してドメインコントローラーのLDAPSを有効にする方法については、「LDAP over SSL (LDAPS) Certificate」の記事を参照してください。
-
クライアント使用のためのルート証明機関の有効化
クライアントは、LDAPサーバーが信頼するCAからの証明書を使用する必要があります。クライアントのLDAPS認証を有効にするには、ルートCA証明書を信頼されたキーストアにインポートします。
ルートCAのエクスポート方法について詳しくは、MicrosoftサポートWebサイトの「How to export Root Certification Authority Certificate」を参照してください。
Linux VDAでのLDAPSの有効化または無効化
Linux VDAでLDAPSを有効または無効にするには、enable_ldaps.shスクリプトを(管理者としてログオンして)実行します。enable_ldaps.shスクリプトを非対話モードで実行するには、以下の変数を環境にエクスポートします。
#CTX_LDAPS_KEYSTORE_PASSWORD=
#CTX_LDAPS_LDAP_SERVERS=
<!--NeedCopy-->
-
提供されたルートCA証明書を使用してLDAP over SSL/TLSを有効にする(LDAPチャネルバインディングをサポート):
/opt/Citrix/VDA/sbin/enable_ldaps.sh -Enable pathToRootCA <!--NeedCopy-->SSL/TLSなしでLDAPにフォールバックする
/opt/Citrix/VDA/sbin/enable_ldaps.sh -Disable <!--NeedCopy-->
LDAPS専用のJavaキーストアは/etc/xdl/.keystoreにあります。影響を受けるレジストリキーは次のとおりです。
HKLM\Software\Citrix\VirtualDesktopAgent\ListOfLDAPServers
HKLM\Software\Citrix\VirtualDesktopAgent\ListOfLDAPServersForPolicy
HKLM\Software\Citrix\VirtualDesktopAgent\UseLDAPS
- HKLM\Software\Policies\Citrix\VirtualDesktopAgent\Keystore
- HKLM\Software\Citrix\VirtualDesktopAgent\EnableChannelBinding
<!--NeedCopy-->
サードパーティプラットフォーム向けのLDAPSの構成
Linux VDAコンポーネントのほかに、VDAに準拠するいくつかのサードパーティソフトウェアコンポーネント(SSSD、Winbind、Centrify、Questなど)もセキュアLDAPを必要とする場合があります。以下のセクションでは、LDAPS、STARTTLS、またはSASL署名およびシーリングを使用してセキュアLDAPを構成する方法について説明します。
ヒント:
これらのソフトウェアコンポーネントのすべてが、セキュアLDAPを確保するためにSSLポート636の使用を好むわけではありません。また、ほとんどの場合、LDAPS(ポート636のLDAP over SSL)はポート389のSTARTTLSと共存できません。
SSSD
オプションに従って、ポート636またはポート389でSSSDセキュアLDAPトラフィックを構成します。詳しくは、「SSSD LDAP Linux man page」を参照してください。
Winbind
Winbind LDAPクエリはADSメソッドを使用します。Winbindはポート389でのStartTLSメソッドのみをサポートしています。影響を受ける構成ファイルは、/etc/samba/smb.confおよび/etc/openldap/ldap.conf(Amazon Linux 2、RHEL、Rocky Linux、CentOS、SUSEの場合)、または/etc/ldap/ldap.conf(DebianおよびUbuntuの場合)です。ファイルを次のように変更します。
-
smb.conf
ldap ssl = start tlsldap ssl ads = yesclient ldap sasl wrapping = plain -
ldap.conf
TLS_REQCERT never
あるいは、SASL GSSAPI署名およびシーリングによってセキュアLDAPを構成することもできますが、これはTLS/SSLと共存できません。SASL暗号化を使用するには、smb.conf構成を変更します。
ldap ssl = off
ldap ssl ads = no
client ldap sasl wrapping = seal
Centrify
Centrifyはポート636でのLDAPSをサポートしていません。ただし、ポート389でセキュアな暗号化を提供します。詳しくは、「Centrify site」を参照してください。
Quest
Quest Authentication Serviceはポート636でのLDAPSをサポートしていませんが、異なる方法を使用してポート389でセキュアな暗号化を提供します。
トラブルシューティング
この機能を使用すると、以下の問題が発生する可能性があります。
-
LDAPSサービスの可用性
AD/LDAPサーバーでLDAPS接続が利用可能であることを確認します。ポートはデフォルトで636です。
-
LDAPSが有効な場合のLinux VDA登録の失敗
LDAPサーバーとポートが正しく構成されていることを確認します。まずルートCA証明書を確認し、AD/LDAPサーバーと一致していることを確認してください。
-
誤ってレジストリを変更した場合
enable_ldaps.shを使用せずに誤ってLDAPS関連のキーを更新した場合、LDAPSコンポーネントの依存関係が損なわれる可能性があります。
-
Wiresharkまたはその他のネットワーク監視ツールからのSSL/TLSによるLDAPトラフィックの暗号化の失敗
デフォルトでは、LDAPSは無効になっています。強制的に有効にするには、/opt/Citrix/VDA/sbin/enable_ldaps.shを実行します。
-
Wiresharkまたはその他のネットワーク監視ツールからのLDAPSトラフィックがない場合
LDAP/LDAPSトラフィックは、Linux VDAの登録とグループポリシーの評価が行われるときに発生します。
-
ADサーバーでldp connectを実行してLDAPSの可用性を確認できない場合
IPアドレスの代わりにAD FQDNを使用してください。
-
/opt/Citrix/VDA/sbin/enable_ldaps.shスクリプトの実行によるルートCA証明書のインポートの失敗
CA証明書の完全なパスを指定し、ルートCA証明書が正しいタイプであることを確認します。これは、サポートされているほとんどのJava Keytoolタイプと互換性があるはずです。サポートリストにない場合は、まずタイプを変換できます。証明書形式の問題が発生した場合は、base64エンコードされたPEM形式をお勧めします。
-
Keytool -listでルートCA証明書を表示できない場合
/opt/Citrix/VDA/sbin/enable_ldaps.shを実行してLDAPSを有効にすると、証明書は/etc/xdl/.keystoreにインポートされ、キーストアを保護するためにパスワードが設定されます。パスワードを忘れた場合は、スクリプトを再実行してキーストアを作成できます。