こんにちは。サイオステクノロジーの小川です。
Microsoftが公開したセキュリティアドバイザリよりActive Directory ドメイン環境内のLDAP通信をLDAP署名、LDAPチャネルバインディングを有効化することを推奨する案内がありました。通常ではActive Directory とAzure AD Connectの通信もLDAPを利用しますが、データはKeroberosの署名によって暗号化されています。
そこで、Active DirectoryとAzure AD ConnectのLDAP通信をLDAPSに変更する設定を今回は紹介します。
Active DirectoryのLDAPS通信設定
Active DirectoryでLDAPS通信を有効化する設定については以下を参照してください。
Azure AD ConnectでLDAPS通信を有効化する
Azure AD Connectをインストールと設定が完了したら、スタートからSynchronization Serviceを開きます。
Connectorタブを選択し、LDAPS接続を行うActive Directoryドメインを右クリックし、Propertiesを選択します。
連携実行時のLDAPSを有効にする
configure Directory Partitionsを選択し、Domain controller connection settingsのOptionsを選択します。
Enable SSL for the Connectionにチェックを入れます。証明書の失効チェックをする場合はEnable Certificate Revocation List Checkingにチェックを入れ、OKをクリックします。
ADフォレストの接続でLDAPS接続する
Connect to Active Directory Forestを選択し、ADのエンタープライズ管理者権限を持つユーザー名とパスワードを入力します。
Configure Connection OptionsのOptionsを選択します。Enable SSL for the Connectionにチェックを入れます。証明書の失効チェックをする場合はEnable Certificate Revocation List Checkingにチェックを入れ、OKをクリックします。
こちらはActive Directoryのフォレストに接続する際に利用する接続なので、Azure AD Connectの連携実行ではLDAPS接続にはなりません。