私の目標は、ovirt4でAD authを有効にすることです。私の広告にはldapが必要です。 自己署名付き証明書(例:https://support.microsoft.com/en-us/help/321051/how-to-enable-ldap-over-ssl-with-a-third-party-certification-authority)を使用してSSL経由でSSLを有効にする方法については多くの説明がありますが、すべて1つのドメインコントローラのケースについて記述しています。 2つのドメインコントローラで状況をどのように処理しますか?各マシンで証明書を作成するか、ワイルドカード証明書を作成するのが妥当でしょうか?複数のADドメインコントローラでLDAPを有効にする
はい、両方のマシンでSSL証明書を作成する必要があります。特定のドメインコントローラーのホスト名ではなくドメイン名に接続すると、どちらのドメインコントローラーにもラウンドロビンされる可能性があるため、両方の証明書が必要になるため、両方のドメインコントローラーにSSL証明書が必要です。ラボシナリオでない限り、ワイルドカード証明書を使用しないでください。PKIの世界では、セキュリティ上の大きなリスクと考えられます。さらに、ドメインコントローラのActive Directoryの完全修飾ドメイン名(DC01.DOMAIN.COMなど)は、次のいずれかの場所のSSL証明書に表示される必要があるため、ワイルドカード証明書もドメインコントローラには適用されません。
詳細については、MS KB51を参照してください。
ありがとう!できます! – TokiW
あなたの質問にお答えしましたので、それをコミュニティの他の人にも確認できるようにマークしてください。そうでない場合は、私たちに知らせてください。 –
誰かがあなたの質問に答えて、「ありがとうございました!答えを受け入れるために灰色のチェックマークをクリックしなかったのはなぜですか?答えがあなたのために働くとき、あなたはこのように回答者を認めなければならない、そうでなければ人々はあなたに不幸になるかもしれません。ちょうど私の2セント.... –