Clientseitige Aktivierung LDAPS mithilfe von AD Connector - AWS Directory Service
VoraussetzungenClientseitig aktivieren LDAPS

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Clientseitige Aktivierung LDAPS mithilfe von AD Connector

Die clientseitige LDAPS Unterstützung in AD Connector verschlüsselt die Kommunikation zwischen Microsoft Active Directory (AD) und Anwendungen. AWS Beispiele für solche Anwendungen sind WorkSpaces, AWS IAM Identity Center QuickSight, Amazon und Amazon Chime. Diese Verschlüsselung hilft Ihnen, die Identitätsdaten Ihrer Organisation besser zu schützen und Ihre Sicherheitsanforderungen zu erfüllen.

Sie können sich auch clientseitig abmelden und deaktivieren. LDAPS

Themen

Voraussetzungen

Bevor Sie die clientseitige Aktivierung durchführen könnenLDAPS, müssen Sie die folgenden Anforderungen erfüllen.

Serverzertifikate in Active Directory bereitstellen

Um die clientseitige Aktivierung zu ermöglichenLDAPS, müssen Sie Serverzertifikate für jeden Domänencontroller in Active Directory erwerben und installieren. Diese Zertifikate werden vom LDAP Dienst verwendet, um SSL Verbindungen von LDAP Clients abzuhören und diese automatisch zu akzeptieren. Sie können SSL Zertifikate verwenden, die entweder von einer internen Bereitstellung der Active Directory-Zertifikatsdienste (ADCS) ausgestellt oder von einem kommerziellen Anbieter erworben wurden. Weitere Informationen zu den Anforderungen an das Active Directory-Serverzertifikat finden Sie unter LDAPover SSL (LDAPS) Certificate auf der Microsoft-Website.

CA-Zertifikat-Anforderungen

Für den clientseitigen LDAPS Betrieb ist ein Zertifikat der Zertifizierungsstelle (CA) erforderlich, das den Aussteller Ihrer Serverzertifikate darstellt. CA-Zertifikate werden den Serverzertifikaten zugeordnet, die von Ihren Active Directory-Domänencontrollern zur Verschlüsselung der Kommunikation bereitgestellt werden. LDAP Beachten Sie die folgenden Zertifizierungsstellenzertifikat-Anforderungen:

  • Es können nur Zertifikate registriert werden, die noch mehr als 90 Tage lang gültig sind.

  • Zertifikate müssen im Privacy-Enhanced Mail () -Format vorliegen. PEM Wenn Sie CA-Zertifikate aus dem Active Directory exportieren, wählen Sie das Base64-kodierte X.509 (. CER) als Exportdateiformat.

  • Es können maximal fünf (5) CA-Zertifikate pro AD-Connector-Verzeichnis gespeichert werden.

  • Zertifikate, die den RSASSA PSS Signatur-Algorithmus verwenden, werden nicht unterstützt.

Netzwerkanforderungen

AWS LDAPDer Anwendungsdatenverkehr wird ausschließlich auf TCP Port 636 ausgeführt, ohne dass ein Fallback auf LDAP Port 389 erfolgt. Die LDAP Windows-Kommunikation, die Replikation, Vertrauensstellungen und mehr unterstützt, wird jedoch weiterhin LDAP Port 389 mit Windows-nativer Sicherheit verwenden. Konfigurieren Sie AWS Sicherheitsgruppen und Netzwerkfirewalls, um die TCP Kommunikation auf Port 636 in AD Connector (ausgehend) und selbstverwaltetem Active Directory (eingehend) zu ermöglichen.

Clientseitig aktivieren LDAPS

Um die clientseitige Aktivierung durchzuführenLDAPS, importieren Sie Ihr Zertifizierungsstellenzertifikat (CA) in AD Connector und aktivieren es dann in LDAPS Ihrem Verzeichnis. Nach der Aktivierung wird der gesamte LDAP Datenverkehr zwischen AWS Anwendungen und Ihrem selbstverwalteten Active Directory mit der Secure Sockets Layer (SSL) -Kanalverschlüsselung übertragen.

Sie können zwei verschiedene Methoden verwenden, um die clientseitige Aktivierung LDAPS für Ihr Verzeichnis zu aktivieren. Sie können entweder die AWS Management Console Methode oder die AWS CLI Methode verwenden.

Zertifikat wird registriert in AWS Directory Service

Verwenden Sie eine der folgenden Methoden, um ein Zertifikat in zu registrieren AWS Directory Service.

Methode 1: Um Ihr Zertifikat in AWS Directory Service (AWS Management Console) zu registrieren

  1. Wählen Sie im Navigationsbereich der AWS Directory Service -Konsole Verzeichnisse.

  2. Klicken Sie auf den Verzeichnis-ID-Link für Ihr Verzeichnis.

  3. Wählen Sie auf der Seite Directory details (Verzeichnisdetails) die Registerkarte Networking & security (Netzwerk & Sicherheit) aus.

  4. Wählen Sie im LDAPS Abschnitt Client-Seite das Menü Aktionen und dann Zertifikat registrieren aus.

  5. Klicken Sie im Dialogfeld Register a CA certificate (Registrieren eines CA-Zertifikats) auf die Option Browse (Durchsuchen), wählen Sie dann das Zertifikat aus und klicken Sie anschließend auf die Option Open (Öffnen).

  6. Wählen Sie die Option Register certificate (Zertifikat registrieren) aus.

Methode 2: Um Ihr Zertifikat in AWS Directory Service () zu registrieren AWS CLI

  • Führen Sie den folgenden Befehl aus. Zeigen Sie für die Zertifikatdaten auf den Speicherort der Zertifizierungsstellen-Zertifikatdatei. In der Antwort wird eine Zertifikat-ID angegeben.

    aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path

Überprüfen Sie den Registrierungsstatus

Um sich den Status einer Zertifikatsregistrierung oder eine Liste der registrierten Zertifikate anzeigen zu lassen, nutzen Sie eines der folgenden Verfahren.

Methode 1: Um den Registrierungsstatus des Zertifikats in AWS Directory Service (AWS Management Console) zu überprüfen

  1. Gehen Sie auf der Seite mit den Verzeichnisdetails zum LDAPS Abschnitt Client-Seite.

  2. Überprüfen Sie den aktuellen Status der Zertifikatregistrierung, der in der Spalte Registration status (Registrierungsstatus) angezeigt wird. Wenn sich der Wert des Registrierungsstatus in Registered (Registriert) ändert, ist Ihr Zertifikat erfolgreich registriert worden.

Methode 2: Um den Registrierungsstatus des Zertifikats in AWS Directory Service () zu überprüfen AWS CLI

  • Führen Sie den folgenden Befehl aus. Wenn der Statuswert Registered zurückgegeben wird, wurde Ihr Zertifikat erfolgreich registriert.

    aws ds list-certificates --directory-id your_directory_id

Clientseitig aktivieren LDAPS

Verwenden Sie eine der folgenden Methoden, um die LDAPS clientseitige Aktivierung zu aktivieren. AWS Directory Service

Anmerkung

Sie müssen mindestens ein Zertifikat erfolgreich registriert haben, bevor Sie die clientseitige Aktivierung durchführen können. LDAPS

Methode 1: Um das clientseitige LDAPS in () zu aktivieren AWS Directory ServiceAWS Management Console

  1. Gehen Sie auf der Seite mit den Verzeichnisdetails zum LDAPS Abschnitt Client-Seite.

  2. Wählen Sie Enable (Aktivieren) aus. Steht diese Option nicht zur Verfügung, überprüfen Sie, ob ein gültiges Zertifikat erfolgreich registriert wurde, und versuchen Sie es dann erneut.

  3. Wählen Sie im LDAPS Dialogfeld Clientseitig aktivieren die Option Aktivieren aus.

Methode 2: Um die clientseitige LDAPS Eingabe in () zu aktivieren AWS Directory ServiceAWS CLI

  • Führen Sie den folgenden Befehl aus.

    aws ds enable-ldaps --directory-id your_directory_id --type Client

Status wird überprüft LDAPS

Verwenden Sie eine der folgenden Methoden, um den LDAPS Status einzuchecken AWS Directory Service.

Methode 1: Um den LDAPS Status in AWS Directory Service (AWS Management Console) zu überprüfen

  1. Gehen Sie auf der Seite mit den Verzeichnisdetails zum LDAPS Abschnitt Client-Seite.

  2. Wenn der Statuswert als Aktiviert angezeigt wird, LDAPS wurde erfolgreich konfiguriert.

Methode 2: Um den LDAPS Status in AWS Directory Service (AWS CLI) zu überprüfen

  • Führen Sie den folgenden Befehl aus. Wenn der Statuswert zurückkehrtEnabled, LDAPS wurde erfolgreich konfiguriert.

    aws ds describe-ldaps-settings –directory-id your_directory_id

Weitere Informationen zum Anzeigen Ihres clientseitigen LDAPS Zertifikats, zum Abmelden oder Deaktivieren Ihres Zertifikats finden Sie unter. LDAPS Clientseitige Verwaltung LDAPS