¶ LDAPS(LDAP over SSL/TLS)
¶ 📌 1. 概要
LDAPS(LDAP over SSL/TLS)は、LDAP 通信を TLS により暗号化する仕組みである。
Active Directory では、ディレクトリ情報の検索や一部の認証処理に LDAP が使用される。標準の LDAP(TCP 389)は暗号化されないため、本環境では LDAPS(TCP 636)を採用する。
LDAPS は、AD DS(認証基盤)と AD CS(信頼基盤)が連携することで成立する。
¶ 🎯 2. なぜ LDAPS が必要か
LDAP(389)は通信内容が暗号化されない。
特に以下のケースでは重大なリスクとなる。
¶ ❗ ① Simple Bind による資格情報送信
LDAP では Simple Bind 認証が使用された場合、資格情報が平文で送信される。
攻撃者がネットワーク上でパケットを取得できる場合、
- ユーザー名
- パスワード
が漏洩する可能性がある。
¶ ❗ ② 第三者アプリケーション連携
アプリケーションが LDAP を用いて AD 認証を行う場合、
- Webアプリ
- NAS
- ネットワーク機器
などが LDAP 接続を行う。
平文LDAPを許可していると、外部連携部分が攻撃対象となる。
¶ ❗ ③ ディレクトリ情報の漏洩
LDAP通信には以下の情報が含まれる。
- ユーザー属性
- グループ情報
- OU構造
- ドメイン情報
これらは攻撃者にとって有用な内部情報となる。
¶ 🌐 3. LDAP と LDAPS の違い
| 項目 | LDAP | LDAPS |
|---|---|---|
| ポート | 389 | 636 |
| 暗号化 | なし | TLS |
| 証明書 | 不要 | 必要 |
| セキュリティ | 低 | 高 |
LDAP は暗号化されない。
LDAPS は TLS により通信を暗号化する。
¶ 🔐 4. 動作原理
LDAPS は以下の流れで動作する。
- クライアントが DC の TCP 636 に接続
- DC がサーバー証明書を提示
- クライアントが証明書チェーンを検証
- TLS セッションを確立
- 暗号化された LDAP 通信を開始
証明書が信頼されていなければ接続は失敗する。
¶ 🧠 TLS の役割(仕組み理解)
TLS は以下を提供する。
- 🔐 通信の暗号化
- 🛡 通信改ざんの検知
- 🪪 接続先の真正性確認
証明書により「そのドメインコントローラーが本物である」ことを確認する。
¶ 🧠 比喩:身分証確認付き会話
LDAP(389)は「誰か分からない相手と会話する状態」。
LDAPS(636)は「身分証を確認したうえで会話する状態」。
証明書がその身分証に該当する。
¶ 🏛 5. 本環境の設計方針
¶ 🔁 前提条件
- AD CS が構築済み
- DC にサーバー証明書が適用済み
- ルート証明書がドメイン配下へ配布済み
¶ 🔐 通信方針
- LDAP(389)は原則使用しない
- LDAPS(636)を標準とする
- アプリケーション連携も LDAPS を使用
¶ 📜 証明書要件
- Server Authentication 用途を含む
- DC の FQDN を SAN に含む
- 有効期限管理を実施
- CRL 配布が正常に機能すること
¶ ⚠ 6. リスク・注意点
- ❌ 証明書期限切れで LDAPS 接続不可
- ❌ ルート証明書未配布で信頼エラー
- ❌ CRL 参照失敗で接続拒否
- ❌ Simple Bind を許可すると設計意図が崩れる
証明書管理とポリシー設定は運用設計に含める。
¶ 🎯 7. 位置付け
LDAPS は、AD DS(認証)と AD CS(信頼)を結びつける暗号化層である。
- AD DS → 認証
- AD CS → 信頼
- LDAPS → 暗号化されたディレクトリ通信
本環境では、平文 LDAP を排除し、LDAPS を標準とする。