検索
サポートコンソール開発者トライアルの開始お問い合わせ

16.4.2. ステップ 2: Active Directory ドメインの設定

download PDF
同期は AD ドメインコントローラーでのみ設定できます。さらに、パスワードの複雑さを AD で有効にする必要があります。
パスワードの複雑性を有効にするには、以下を実行します。
  1. Group Policy Management コンソールを開き、新しい Group Policy Object(GPO)を作成します。詳細は、Windows のドキュメントを参照してください。
  2. GPO を右クリックし、Edit を選択して Group Policy Management Editor を開きます。
  3. Computer Configuration Windows Settings Security Settings Account Policies Password Policy に移動し、Password must meet complexity requirements という名前のポリシーをダブルクリックします。
  4. ポリシーを有効にし、OK をクリックします。
  5. Group Policy Management Editor および Group Policy Management コンソールを閉じます。
「Microsoft ナレッジベース」で説明されているように、TLS を設定し、AD サーバーにルート CA を設定します http://technet.microsoft.com/en-us/library/cc772393%28v=ws.10%29.aspx#BKMK_AS1
  1. 認証局をインストールします。
    1. Administrative Tools エリアで Server Manager を開き、ロールを追加します。
    2. Active Directory Certificate Services チェックボックスを選択します。
    3. Select Role Services ページをクリックし、Certification Authority チェックボックスを選択します。
    4. CA の設定時に、適切な画面で以下のオプションを選択します。
      • Enterprise (設定タイプの場合)
      • オプション設定の認証局の Web 登録
    5. AD サーバーを再起動します。
  2. TLS サーバー証明書を使用するように AD サーバーを設定します。
    1. AD の完全修飾ドメイン名を証明書サブジェクトとして使用し、証明書要求 .inf を作成します。以下に例を示します。 
      ;----------------- request.inf -----------------

[Version]

Signature="$Windows NT$

[NewRequest]

Subject = "CN=ad.server.example.com, O=Engineering, L=Raleigh, S=North Carolina, C=US"
KeySpec = 1
KeyLength = 2048
Exportable = TRUE
MachineKeySet = TRUE
SMIME = False
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = PKCS10
KeyUsage = 0xa0

[EnhancedKeyUsageExtension]

OID=1.3.6.1.5.5.7.3.1

;-----------------------------------------------
    2. 証明書要求を生成します。 
      # certreq -new request.inf request.req
    3. AD CA に要求を送信します。以下に例を示します。 
      # certreq -submit request.req certnew.cer
      注記
      コマンドラインツールがエラーメッセージを返す場合は、Web ブラウザーを使用して CA にアクセスし、証明書要求を送信します。IIS が実行されている場合、CA URL は http://servername/certsrv になります。
    4. 証明書要求を受け入れます。以下に例を示します。 
      # certreq -accept certnew.cer
  3. サーバー証明書が AD サーバーに存在する。
    1. Run メニューで MMC コンソールを開きます。
    2. File メニューで、Add/Remove Snap-in.. をクリックします。
    3. Certificates snap-in を選択し、Add をクリックしてこれを追加し、Next をクリックします。
    4. 左側の 証明書(ローカル) メニューを展開します。Personal 項目を展開し、Certificates をクリックします。
    5. 新しい証明書は他の証明書と共に一覧表示される必要があります。
  4. Directory Server で、CA 証明書をエクスポートします。 
    # cd /etc/dirsrv/slapd-instance_name/
# certutil -d . -L -n "CA certificate" -a > dsca.crt
  5. エクスポートされた証明書を Directory Server から Windows マシンにコピーします。
  6. Directory Server から AD に CA 証明書をインポートします。
    1. Administrative Tools を開き、認証局 項目を選択します。
    2. Trusted Root Certification Authorities を展開します。
    3. Certificates 項目を右クリックし、Import を選択します。
    4. ダウンロードした Directory Server CA 証明書を参照し、Next をクリックします。
    5. CA 証明書を Trusted Root 認証局 ストアに保存します。
  7. ドメインコントローラーを再起動します。
サーバーが TLS で正しく実行されていることをテストするには、AD を LDAPS で検索してみてください。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.