Active DirectoryのLDAPS認証(証明書必要) 複数台の内、台数限定で設定可能なのかという問い合わせがフォーラムにありました。なぜ、こういった構成になるのかはおいておいて内容的に気になったので共有です。
以下は質問内容です。
「LDAP over SSL/TLS」で認証を別のシステムから行いたいのですが、下記の例のように、サーバ8台のうち、2台のみに証明書をいれて、LDAPS認証とLDAP認証を共存することは可能でしょうか?
■Active Directoryサーバの構成
サーバ台数:8台
主な用途:PCのログイン認証、Office365の認証、ドメイン参加サーバの認証
■LDAPSとLDAPで共用化するActive Directoryサーバの構成
上記のサーバの8台のうち:2台
※PCのログイン認証など、上記と同じ用途でも利用
しかし、AD8台って中々大規模な構成ですね。大手企業の台数ですよ。長くインフラエンジニアをしていますが、8台って初めて聞きました。これ、すべて同じドメインで2台だけっておそらく検証したいのかなと思いますが、その回答。
この件ですが、LDAP認証というのは、ここではKerberos認証(一般的な認証)のことだと思います。LDAPS認証はサーバー単位で設定しますので、一部のドメインコントローラーのみに追加設定というのはやればできます。
ただ当然ですが、LDAPS認証したいクライアントは設定サーバーを明示的に指定する必要があります。LDAPSサーバーを状況に応じて動的に選択する方法はありません。クライアントはLDAPSルート証明書を保持している必要もあります。
調べたところ、サイトの機能でクライアントが明示的に1台のDCを特定してログオンすることは難しいようです。方法としては、サイトにクライアントのサブネット(ネットワーク、アドレス)が関連付けられていれば、そのサイト内に存在する任意のDCにログオンするということが可能の様です。
「参考」
