ディレクトリサーバー構成の検証

さらに、グループを識別してアクセスできるように、有効な検索コンテキストがなければなりません。

適切なディレクトリサーバー構成を確認するには、以下の手順を使用します。

前提条件
  • 権限:インフラストラクチャ管理者

  • 認証ディレクトリサービスのホストサーバーの必要条件は、以下のとおりです。

    • SSLを介して通信する。

    • LDAPのSSLポートで一致する。

    • 完全修飾ドメイン名またはIPアドレスを介してアクセスできる。

    • RSAアルゴリズムに基づく使用可能なSSL証明書がある。

手順
  1. pingコマンドを使用して、ディレクトリサーバーへの接続があるかどうか判別します。
    ping directory_server_host_name
              
  2. ディレクトリサーバー証明書の公開キーがRSAアルゴリズムに基づいていることを確認します。

    ディレクトリサーバーがラウンドロビンDNSサーバーとして動作している多数のDNSサーバーである場合は、各サーバーに一意の証明書があります。nslookupを使用してサーバーを一覧表示し、いずれかを選択します。

    openssl s_clientコマンドを使用してサーバーに接続します。ホスト名とポートを指定します。

    ディレクトリサーバーの追加画面の証明書フィールドにサーバー証明書をコピーします。

    証明書が公開キーをRSAnビット)として指定することを確認します。Microsoft Active Directoryのデフォルトのオプションは、RSA 2048ビットです。

  3. 証明書のタイムスタンプがアプライアンスの時刻よりも古いことを確認します。

    アプライアンスとディレクトリが異なるタイムサーバーと同期している場合、または異なるタイムゾーンで実行されている場合は、これが問題になることがあります。

  4. アプライアンスコンソールからldapsearchコマンドを実行して、検索コンテキストを検証します。
    検索コンテキスト CN CN=Users

    DC=example,DC=com

    Username: server_admin

    この例の場合、TLS/SSLを使用するldapsearchコマンドは以下のようになります。

    LDAPTLS_CACERT=location_of_certificate
    ldapsearch -LLL
    –Z -H ldaps://host_name:port
    -b "base-DN"
    -D "bind-DN"
    –W [cn/uid/ssAMAccountName/userPrincipalName]
              

    この例の場合、TLS/SSLを使用しないldapsearchコマンドは以下のようになります。

    ldapsearch -LLL
    -H ldap://IP_address:389
    -b "cn=users,dc=example,dc=com"
    -D "cn=server_admin,cn=users,dc=example,dc=com"
    –W CN