製品ドキュメント
Linux 仮想配信エージェント 2503
Current Release 2402 LTSR 2311 2308 2305 2303 2301 2212 2210 2209 2207 2206 2204 2203 LTSR 1912 LTSR 7.15 LTSR
PDFを表示

LDAPS

April 20, 2026
寄稿者: 
C C

LDAPSは、TLS/SSLを使用してLDAP通信を暗号化する、Lightweight Directory Access Protocol(LDAP)のセキュアバージョンです。

  • デフォルトでは、クライアントとサーバーアプリケーション間のLDAP通信は暗号化されません。LDAPSを使用すると、Linux VDAとLDAPサーバー間のLDAPクエリコンテンツを保護できます。

以下のLinux VDAコンポーネントはLDAPSに依存しています。

  • ブローカーエージェント:Delivery Controller™へのLinux VDA登録

  • ポリシーサービス:ポリシー評価

  • LDAPSの構成には以下が含まれます。

  • Active Directory(AD)/LDAPサーバーでのLDAPSの有効化
  • クライアント使用のためのルートCAのエクスポート
  • Linux VDAでのLDAPSの有効化/無効化
  • サードパーティプラットフォームでのLDAPSの構成
  • SSSDの構成
  • Winbindの構成
  • Centrifyの構成
  • Questの構成

注:

LDAPサーバーの監視サイクルを設定するには、次のコマンドを実行します。デフォルト値は15分です。少なくとも10分に設定してください。

/opt/Citrix/VDA/bin/ctxreg create -k "HKLM\Software\Citrix\VirtualDesktopAgent" -v "ListOfLDAPServersMonitorPeroid" -t "REG_DWORD" -d "0x0000000f" --force
<!--NeedCopy-->

AD/LDAPサーバーでのLDAPSの有効化

Microsoft証明機関(CA)またはMicrosoft以外のCAから適切にフォーマットされた証明書をインストールすることで、LDAP over SSL(LDAPS)を有効にできます。

ヒント:

ドメインコントローラーにエンタープライズルートCAをインストールすると、LDAPSは自動的に有効になります。

証明書のインストール方法とLDAPS接続の確認方法について詳しくは、「How to enable LDAP over SSL with a third-party certification authority」を参照してください。

多層証明機関階層を使用している場合、ドメインコントローラー上のLDAPS認証に適した証明書が自動的に提供されるわけではありません。

多層証明機関階層を使用してドメインコントローラーでLDAPSを有効にする方法については、「LDAP over SSL (LDAPS) Certificate」の記事を参照してください。

クライアント使用のためのルート証明機関の有効化

クライアントは、LDAPサーバーが信頼するCAからの証明書を使用する必要があります。クライアントのLDAPS認証を有効にするには、ルートCA証明書を信頼されたキーストアにインポートします。

ルートCAのエクスポート方法について詳しくは、MicrosoftサポートWebサイトの「How to export Root Certification Authority Certificate」を参照してください。

Linux VDAでのLDAPSの有効化または無効化

Linux VDAでLDAPSを有効または無効にするには、(管理者としてログオンした状態で)enable_ldaps.shスクリプトを実行します。enable_ldaps.shスクリプトを非対話モードで実行するには、次の変数を環境にエクスポートします。

#CTX_LDAPS_KEYSTORE_PASSWORD=

#CTX_LDAPS_LDAP_SERVERS=
<!--NeedCopy-->

  • 提供されたルートCA証明書を使用してLDAP over SSL/TLSを有効にする(LDAPチャネルバインディングがサポートされている場合):

     /opt/Citrix/VDA/sbin/enable_ldaps.sh -Enable pathToRootCA
 <!--NeedCopy-->

  • SSL/TLSなしでLDAPにフォールバックする

     /opt/Citrix/VDA/sbin/enable_ldaps.sh -Disable
 <!--NeedCopy-->

LDAPS専用のJavaキーストアは /etc/xdl/.keystore にあります。影響を受けるレジストリキーは次のとおりです。

HKLM\Software\Citrix\VirtualDesktopAgent\ListOfLDAPServers

HKLM\Software\Citrix\VirtualDesktopAgent\ListOfLDAPServersForPolicy

HKLM\Software\Citrix\VirtualDesktopAgent\UseLDAPS

HKLM\Software\Policies\Citrix\VirtualDesktopAgent\Keystore

HKLM\Software\Citrix\VirtualDesktopAgent\EnableChannelBinding
<!--NeedCopy-->

  • サードパーティプラットフォームでのLDAPSの構成

  • Linux VDAコンポーネントの他に、VDAに準拠するいくつかのサードパーティ製ソフトウェアコンポーネント(SSSD、Winbind、Centrify、Questなど)もセキュアLDAPを必要とする場合があります。以下のセクションでは、LDAPS、STARTTLS、またはSASL署名とシーリングを使用してセキュアLDAPを構成する方法について説明します。

  • ヒント:

  • これらのすべてのソフトウェアコンポーネントが、セキュアLDAPを確保するためにSSLポート636を使用することを好むわけではありません。また、ほとんどの場合、LDAPS(ポート636でのLDAP over SSL)はポート389でのSTARTTLSと共存できません。

  • SSSD

オプションに従って、ポート636またはポート389でSSSDセキュアLDAPトラフィックを構成します。詳しくは、「SSSD LDAP Linux man page」を参照してください。

Winbind

Winbind LDAPクエリはADSメソッドを使用します。Winbindはポート389でのStartTLSメソッドのみをサポートします。影響を受ける構成ファイルは、/etc/samba/smb.conf および /etc/openldap/ldap.conf(Amazon Linux 2、RHEL、Rocky Linux、CentOS、SUSEの場合)、または /etc/ldap/ldap.conf(DebianおよびUbuntuの場合)です。ファイルを次のように変更します。

  • smb.conf

    ldap ssl = start tls ldap ssl ads = yes client ldap sasl wrapping = plain

  • ldap.conf

    TLS_REQCERT never

あるいは、SASL GSSAPI署名とシーリングによってセキュアLDAPを構成することもできますが、これはTLS/SSLと共存できません。SASL暗号化を使用するには、smb.conf構成を変更します。

ldap ssl = off ldap ssl ads = no client ldap sasl wrapping = seal

Centrify

Centrifyはポート636でのLDAPSをサポートしていません。ただし、ポート389でセキュアな暗号化を提供します。詳しくは、「Centrify site」を参照してください。

Quest

Quest Authentication Serviceはポート636でのLDAPSをサポートしていませんが、異なる方法を使用してポート389でセキュアな暗号化を提供します。

トラブルシューティング

この機能を使用する際に、次の問題が発生する可能性があります。

  • LDAPSサービスの可用性

    AD/LDAPサーバーでLDAPS接続が利用可能であることを確認します。ポートはデフォルトで636です。

  • LDAPSが有効な場合のLinux VDA登録の失敗

    LDAPサーバーとポートが正しく構成されていることを確認します。まずルートCA証明書を確認し、AD/LDAPサーバーと一致していることを確認します。

  • 誤ってレジストリを変更した場合

    enable_ldaps.shを使用せずに誤ってLDAPS関連のキーを更新した場合、LDAPSコンポーネントの依存関係が損なわれる可能性があります。

  • Wiresharkまたはその他のネットワーク監視ツールからのSSL/TLSによるLDAPトラフィックの暗号化の失敗

    デフォルトではLDAPSは無効になっています。/opt/Citrix/VDA/sbin/enable_ldaps.shを実行して強制的に有効にします。

  • Wiresharkまたはその他のネットワーク監視ツールからのLDAPSトラフィックがない

    LDAP/LDAPSトラフィックは、Linux VDAの登録とグループポリシーの評価が行われるときに発生します。

  • ADサーバーでldp connectを実行してLDAPSの可用性を確認できなかった

    IPアドレスの代わりにAD FQDNを使用します。

  • /opt/Citrix/VDA/sbin/enable_ldaps.shスクリプトの実行によるルートCA証明書のインポートの失敗

    CA証明書のフルパスを指定し、ルートCA証明書が正しいタイプであることを確認します。これは、ほとんどのJava Keytoolでサポートされているタイプと互換性があるはずです。サポートリストにない場合は、まずタイプを変換できます。証明書形式の問題が発生した場合は、base64エンコードされたPEM形式をお勧めします。

  • Keytool -listでルートCA証明書を表示できなかった

    /opt/Citrix/VDA/sbin/enable_ldaps.shを実行してLDAPSを有効にすると、証明書は/etc/xdl/.keystoreにインポートされ、キーストアを保護するためにパスワードが設定されます。パスワードを忘れた場合は、スクリプトを再実行してキーストアを作成できます。

LDAPS
April 20, 2026
寄稿者: 
C C
April 20, 2026
寄稿者: 
C C

この記事の概要

サイトに関するフィードバック | Your privacy choices footer linkプライバシーに関する選択肢 | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.