Windows Server 2025でActive Directory環境を作ってみた。
フォレスト/機能レベルはWindows Server 2016とした
この環境に対してAlmaLinux 9で作ったサーバから ldapsearchコマンドを実行したところ「ldap_bind: Strong(er) authentication required (8)」というエラーになった
# ldapsearch -x -D "cn=administrator,cn=users,dc=adsample,dc=local" -w "パスワード" -H ldap://192.168.122.10 -b "CN=testuser1,CN=Users,DC=adsample,dc=local" -s base
ldap_bind: Strong(er) authentication required (8)
additional info: 00002028: LdapErr: DSID-0C0903CB, comment: The server requires binds to turn on integrity checking if SSL\TLS are not already active on the connection, data 0, v65f4
#
セキュリティ強化のためLDAP署名もしくはLDAPSに対応していないとダメになったようだ
「[AD管理者向け] 2020 年 LDAP 署名と LDAP チャネルバインディングが有効化。確認を!」
じゃあ、とldapsでアクセスしてみるがエラー
# ldapsearch -x -D "cn=administrator,cn=users,dc=adsample,dc=local" -w "パスワード -H ldaps://192.168.122.10 -b "CN=testuser1,CN=Users,DC=adsample,dc=local" -s base
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
#
デバッグモードで接続のテストだけ行ってみる
# ldapsearch -x -d -1 -H ldaps://192.168.122.10
ldap_url_parse_ext(ldaps://192.168.122.10)
ldap_create
ldap_url_parse_ext(ldaps://192.168.122.10:636/??base)
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP 192.168.122.10:636
ldap_new_socket: 3
ldap_prepare_socket: 3
ldap_connect_to_host: Trying 192.168.122.10:636
ldap_pvt_connect: fd: 3 tm: -1 async: 0
attempting to connect:
connect success
TLS trace: SSL_connect:before SSL initialization
tls_write: want=302 error=Connection reset by peer
TLS trace: SSL_connect:error in SSLv3/TLS write client hello
TLS: can't connect: .
ldap_err2string
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
#
証明書が設定されてないようだ
確認のためopenssl s_clientでも接続を試みる
# openssl s_client -connect 192.168.122.10:636
Connecting to 192.168.122.10
CONNECTED(00000003)
write:errno=104
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 302 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
This TLS version forbids renegotiation.
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 0 (ok)
---
#
接続できない
DELLのサイトに「Active Directory統合用にLDAPSを構成する方法」という記事があって、それがそのまま使えた
まず、Active Directoryサーバにログインして、「ldp.exe」を実行し、接続先としてドメイン名、ポート389、SSLチェックは無しを指定して接続を試みる
これはldapでの接続テストとなる。
下記のように情報が取れれば問題ない
次にldapsでの接続をテストするため、SSLにチェックを入れ、ポート636で接続する
接続ができない、というエラーとなった。
このため、証明書の作成が必要、ということになる。
作成にはPowerShellから「New-SelfSignedCertificate -DnsName adtest.adsample.local,adtest -CertStoreLocation cert:\LocalMachine\My」を実行する
-DnsNameの後ろは、Active DIrectoryサーバのFQDNとショートホスト名の2種類をカンマ区切りで指定する
これを実行すると「certlm.msc」の[個人]-[証明書]に証明書が発行される
注意点としては、証明書の有効期限が1年間となっているので、1年以内に更新する必要がある、という点。
期間を変更する場合、New-SelfSignedCertificateの-NotAfterオプションに終了日を指定する。
試してないがおそらく 「-NotAfter (Get-Date).AddMonths(36)」で3年間が作れるのでは?
この証明書を右クリックメニューのコピーをして
[信頼されたルート証明機関]-[証明書]にペースト
再度 ldp.exeから、ポート636, SSLチェックありで接続を試みて接続に成功することを確認
再びLinux側に戻って、まずはopenssl s_clientでの確認
# openssl s_client -connect 192.168.122.10:636
Connecting to 192.168.122.10
CONNECTED(00000003)
Can't use SSL_get_servername
depth=0 CN=adtest.adsample.local
verify error:num=18:self-signed certificate
verify return:1
depth=0 CN=adtest.adsample.local
verify return:1
---
<略>
Start Time: 1744940383
Timeout : 7200 (sec)
Verify return code: 18 (self-signed certificate)
Extended master secret: no
Max Early Data: 0
---
read R BLOCK
^C
#
証明書が設定されたことを確認できた。
改めてldapsearchを実行して、情報が取得できることを確認した
# ldapsearch -x -D "cn=administrator,cn=users,dc=adsample,dc=local" -w "パスワード" -H ldaps://192.168.122.10 -b "CN=testuser1,CN=Users,DC=adsample,dc=local" -s base
# extended LDIF
#
# LDAPv3
# base <CN=testuser1,CN=Users,DC=adsample,dc=local> with scope baseObject
# filter: (objectclass=*)
# requesting: ALL
#
# search result
search: 2
result: 32 No such object
matchedDN: CN=Users,DC=adsample,DC=local
text: 0000208D: NameErr: DSID-0310028F, problem 2001 (NO_OBJECT), data 0, best
match of:
'CN=Users,DC=adsample,DC=local'
# numResponses: 1
#