Habilitación de LDAPS del lado del cliente mediante el Conector AD - AWS Directory Service
Requisitos previosHabilitación del LDAPS del lado del cliente

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilitación de LDAPS del lado del cliente mediante el Conector AD

La compatibilidad con LDAPS del lado del cliente en el Conector AD cifra las comunicaciones entre Microsoft Active Directory (AD) y las aplicaciones de AWS. Algunos ejemplos de estas aplicaciones son WorkSpaces, AWS IAM Identity Center, Amazon QuickSight y Amazon Chime. Este cifrado le ayuda a proteger mejor los datos de identidad de su organización y a cumplir sus requisitos de seguridad.

También puede anular el registro y deshabilitar los LDAPS del lado del cliente.

Temas

Requisitos previos

Antes de habilitar LDAPS del lado del cliente, debe cumplir los siguientes requisitos.

Implementar certificados de servidor en Active Directory

Para habilitar LDAPS en el lado del cliente, debe obtener e instalar certificados de servidor para cada controlador de dominio en Active Directory. Estos certificados los utilizará el servicio LDAP para escuchar y aceptar automáticamente conexiones SSL de clientes LDAP. Puede utilizar certificados SSL emitidos por una implementación interna de Active Directory Certificate Services (ADCS) o adquiridos a un emisor comercial. Para obtener más información acerca de los requisitos de certificados de servidor de Active Directory, consulte Certificado LDAP a través de SSL (LDAPS) en el sitio web de Microsoft.

Requisitos del certificado de CA

Se requiere un certificado de CA (entidad de certificación) que represente al emisor de los certificados de servidor para la operación LDAPS del lado del cliente. Los certificados de entidad de certificación coinciden con los certificados de servidor que presentan los controladores de dominio de Active Directory para cifrar las comunicaciones LDAP. Tenga en cuenta los siguientes requisitos de los certificados de CA:

  • Para registrar un certificado, deben quedar más de 90 días para que caduque.

  • Los certificados deben estar en formato PEM (Privacy-Enhanced Mail). Si exporta certificados de CA desde Active Directory, elija X.509 (.CER) codificado en base64 como formato de archivo de exportación.

  • Se puede almacenar un máximo de cinco (5) certificados de entidad de certificación por directorio de Conector AD.

  • No se admiten los certificados que utilizan el algoritmo de firma RSASSA-PSS.

Requisitos de red

El tráfico LDAP de las aplicaciones de AWS se ejecutará exclusivamente en el puerto TCP 636, sin la posibilidad de utilizar el puerto LDAP 389 como segunda opción. Sin embargo, las comunicaciones LDAP de Windows que admiten la replicación, relaciones de confianza y otras características seguirán utilizando el puerto LDAP 389 con la seguridad nativa de Windows. Configure grupos de seguridad de AWS y firewalls de red para permitir las comunicaciones TCP en el puerto 636 en Conector AD (saliente) y en la instancia de Active Directory autoadministrada (entrante).

Habilitación del LDAPS del lado del cliente

Para habilitar LDAPS del cliente, importe el certificado de la entidad de certificación (CA) en Conector AD y, a continuación, habilite LDAPS en el directorio. Tras la habilitación, todo el tráfico LDAP entre las aplicaciones de AWS y su instancia de Active Directory autoadministrada se realizará con el cifrado de canal SSL (Capa de conexión segura).

Puede utilizar dos métodos diferentes para habilitar LDAPS en el lado del cliente para su directorio. Puede utilizar el método de la AWS Management Console o AWS CLI.

Registro del certificado en AWS Directory Service

Utilice cualquiera de los métodos siguientes para registrar un certificado en AWS Directory Service.

Método 1: registro de su certificado en AWS Directory Service (AWS Management Console)

  1. En el panel de navegación de la consola de AWS Directory Service, seleccione Directorios.

  2. Elija el enlace del ID de directorio correspondiente a su directorio.

  3. En la página Directory details (Detalles del directorio), elija la pestaña Networking & security (Redes y seguridad).

  4. En la sección Client-side LDAPS (LDAPS del lado del cliente), seleccione el menú Actions (Acciones) y, a continuación, seleccione Register certificate (Registrar certificado).

  5. En el cuadro de diálogo Register a CA certificate (Registrar un certificado de entidad de certificación), seleccione Browse (Examinar) y, a continuación, seleccione el certificado y elija Open (Abrir).

  6. Elija Register certificate (Registrar certificado).

Método 2: registro de su certificado en AWS Directory Service (AWS CLI)

  • Ejecute el siguiente comando de la . Para los datos del certificado, elija la ubicación del archivo de certificado de CA. Se proporcionará un ID de certificado en la respuesta.

    aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path

Comprobación del estado de registro

Para ver el estado del registro de un certificado o una lista de certificados registrados, utilice uno de los métodos siguientes.

Método 1: comprobación del estado del registro del certificado en AWS Directory Service (AWS Management Console)

  1. Vaya a la sección Client-side LDAPS (LDAPS del lado del cliente) de la página Directory details (Detalles del directorio).

  2. Revise el estado actual del registro de certificado que se muestra en la columna Registration status (Estado del registro). Cuando el valor de estado de registro cambia a Registered (Registrado), el certificado se ha registrado correctamente.

Método 2: comprobación del estado del registro del certificado en AWS Directory Service (AWS CLI)

  • Ejecute el siguiente comando de la . Si el valor de estado devuelve Registered, el certificado se ha registrado correctamente.

    aws ds list-certificates --directory-id your_directory_id

Habilitación del LDAPS del lado del cliente

Utilice cualquiera de los métodos siguientes para deshabilitar LDAPS en AWS Directory Service.

nota

Debe haber registrado correctamente al menos un certificado para poder habilitar LDAPS en el lado del cliente.

Método 1: habilitación de LDAPS en el lado cliente en AWS Directory Service (AWS Management Console)

  1. Vaya a la sección Client-side LDAPS (LDAPS del lado del cliente) de la página Directory details (Detalles del directorio).

  2. Seleccione Habilitar. Si esta opción no está disponible, compruebe que se ha registrado correctamente un certificado válido y vuelva a intentarlo.

  3. En el cuadro de diálogo Enable client-side LDAPS (Habilitar LDAPS del lado del cliente), elija Enable (Habilitar).

Método 2: habilitación de LDAPS en el lado cliente en AWS Directory Service (AWS CLI)

  • Ejecute el siguiente comando de la .

    aws ds enable-ldaps --directory-id your_directory_id --type Client

Comprobación del estado de LDAPS

Utilice cualquiera de los métodos siguientes para comprobar el estado de LDAPS en AWS Directory Service.

Método 1: comprobación del estado de LDAPS en AWS Directory Service (AWS Management Console)

  1. Vaya a la sección Client-side LDAPS (LDAPS del lado del cliente) de la página Directory details (Detalles del directorio).

  2. Si el valor de estado se muestra como Enabled (Habilitado), LDAPS se ha configurado correctamente.

Método 2: comprobación del estado de LDAPS en AWS Directory Service (AWS CLI)

  • Ejecute el siguiente comando de la . Si el valor de estado devuelve Enabled, LDAPS se ha configurado correctamente.

    aws ds describe-ldaps-settings –directory-id your_directory_id

Para obtener más información sobre cómo ver el certificado LDAPS del lado del cliente, anular el registro o deshabilitar su certificado LDAPS, consulte Administración de LDAPS del lado del cliente.