Active Directoryを外部からSSL経由で利用する場合の設定について～Windowsクライアントからの接続の確認～

さて、前回までの作業でWindowsクライアントからの検証に利用するツールの導入とLDAP（386）での接続の検証は行えました。
今回は、本題のLDAPS(636)による接続が可能なように設定します。

とはいえ、Windowsクライアントからの接続はそれほど難しいことはありません。
基本的に、サーバ側で生成済みのCRTファイルをクライアント側にインポートすれば準備は完了です。

以下、念のためインポートの手順について説明します。
作業に際して、事前にサーバ側からCRTファイルを入手してください。
なお、Windows2003Serverに証明書サービスを導入した場合、
CRTファイルはCドライブの直下に生成されています。

※万が一見つからない場合は、拡張子で検索することをお勧めいたします。

Windows2003ServerからあらかじめコピーしておいたCRTファイルを右クリックし、
メニューから「証明書のインストール」を選択します。

すると、「証明書のインポートウィザード」が開始されますので、内容を確認し「次へ」をクリックします。

次に、インポートする証明書の保存先を選択する画面が表示されます。
ここでは、「証明書を全て次のストアに配置する」を選択し、「参照」をクリックします。

「参照」をクリックすると、証明書ストアを選択するダイアログが表示されます。
ここでは、「信頼されたルート証明機関」を選択し、「OK」をクリックしてください。

「OK」をクリックすると、「証明書ストア」に先程選択した「信頼されたルート証明機関」が設定されます。
正しく設定されている事を確認し、「次へ」をクリックします。

「証明書のインポートウィザードの完了」とかかれた画面が表示され、インポート作業が終了します。
作業内容を確認したら「完了」をクリックします。

「完了」をクリックし全てのインポート作業が正常に終了すると、
「正しくインポートされました。」と表示されますので、「OK」をクリックしてダイアログを閉じてください。

さて、これでWindowsクライアントがActiveDirectoryとLDAPS（636）で通信するための準備が整いましたので、再度「ldp.exe」からLDAPS（636）で接続してみます。

なお、ここで入力する「Server」欄をIPアドレスにした場合、接続できない事があります。
これは、発行された証明書の検証時にFQDNで検証が行われている為だと思われます。
※発行時の設定にもよるため、適時読み替えて対応してください。

それぞれ入力したら「OK」をクリックし、接続を確認します。

下図のように、前回は「」と表示され接続が行えませんでしたが、
今回は無事下記のようにLDAP（389）接続を行ったとき同様に接続が行われました。

これでWindowsクライアントからActiveDirectoryサービスへの照会が可能となりました。

実際のところ、接続に関する設定はいくつかの方法があるため、
証明書サーバ側の構成や発行方法等により条件は変わってきますのでご注意いただければと思います。

次回は、Linuxクライアントからの接続の検証に入りたいと思います。

お疲れ様でした。

Technorati Tags: ActiveDirectory, LDAP, LDAPS