Mengaktifkan TLS otentikasi m di AD Connector untuk digunakan dengan kartu pintar - AWS Directory Service
PrasyaratMengaktifkan autentikasi kartu pintar

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengaktifkan TLS otentikasi m di AD Connector untuk digunakan dengan kartu pintar

Anda dapat menggunakan autentikasi mutual Transport Layer Security (mTLS) berbasis sertifikat dengan kartu pintar untuk mengautentikasi pengguna ke WorkSpaces Amazon melalui Active Directory (AD) dan AD Connector yang dikelola sendiri. Saat diaktifkan, pengguna memilih kartu pintar mereka di layar WorkSpaces login dan memasukkan a PIN untuk mengautentikasi, alih-alih menggunakan nama pengguna dan kata sandi. Dari sana, desktop virtual Windows atau Linux menggunakan kartu pintar untuk mengautentikasi ke AD dari OS desktop asli.

catatan

Otentikasi kartu pintar di AD Connector hanya tersedia di berikut ini Wilayah AWS, dan hanya dengan WorkSpaces. AWS Aplikasi lain tidak didukung saat ini.

  • AS Timur (Virginia Utara)

  • US West (Oregon)

  • Asia Pasifik (Sydney)

  • Asia Pasifik (Tokyo)

  • Eropa (Irlandia)

  • AWS GovCloud (AS-Barat)

  • AWS GovCloud (AS-Timur)

Anda juga dapat membatalkan pendaftaran dan menonaktifkan sertifikat.

Topik

Prasyarat

Untuk mengaktifkan autentikasi Mutual Transport Layer Security (mTLS) berbasis sertifikat menggunakan kartu pintar untuk WorkSpaces klien Amazon, Anda memerlukan infrastruktur kartu pintar operasional yang terintegrasi dengan pengelolaan sendiri Active Directory. Untuk informasi lebih lanjut tentang cara mengatur otentikasi kartu pintar dengan Amazon WorkSpaces dan Active Directory, lihat Panduan WorkSpaces Administrasi Amazon.

Sebelum Anda mengaktifkan otentikasi kartu pintar untuk WorkSpaces, harap tinjau prasyarat berikut:

Persyaratan sertifikat CA

AD Connector memerlukan sertifikat otoritas sertifikasi (CA), yang mewakili penerbit sertifikat pengguna Anda, untuk autentikasi kartu pintar. AD Connector mencocokkan sertifikat CA dengan sertifikat yang ditampilkan oleh pengguna Anda dengan kartu pintar mereka. Perhatikan persyaratan sertifikat CA berikut:

  • Sebelum Anda dapat mendaftarkan sertifikat CA, harus lebih dari 90 hari dari kedaluwarsa.

  • Sertifikat CA harus dalam format Privacy-Enhanced Mail ()PEM. Jika Anda mengekspor sertifikat CA dari dalam Active Directory, pilih Base64-encoded X.509 (. CER) sebagai format file ekspor.

  • Semua sertifikat CA root dan perantara yang terangkai dari CA penerbit sampai sertifikat pengguna harus diunggah agar autentikasi kartu pintar berhasil.

  • Maksimum 100 sertifikat CA dapat disimpan per direktori AD Connector

  • AD Connector tidak mendukung algoritma RSASSA - PSS tanda tangan untuk sertifikat CA.

  • Verifikasi Layanan Propagasi Sertifikat diatur ke Otomatis dan berjalan.

Persyaratan sertifikat pengguna

Berikut ini adalah beberapa persyaratan untuk sertifikat pengguna:

  • Sertifikat kartu pintar pengguna memiliki Nama Alternatif Subjek (SAN) dari pengguna userPrincipalName (UPN).

  • Sertifikat kartu pintar pengguna memiliki Penggunaan Kunci yang Ditingkatkan sebagai log-on kartu pintar (1.3.6.1.4.1.311.20.2.2) Otentikasi Klien (1.3.6.1.5.5.7.3.2).

  • Informasi Protokol Status Sertifikat Online (OCSP) untuk sertifikat kartu pintar pengguna harus berupa Metode Akses = Protokol Status Sertifikat On-line (1.3.6.1.5.5.7.48.1) di Akses Informasi Otoritas.

Untuk informasi selengkapnya tentang AD Connector dan persyaratan autentikasi kartu pintar, lihat Persyaratan di Panduan WorkSpaces Administrasi Amazon. Untuk membantu mengatasi WorkSpaces masalah Amazon, seperti masuk ke, mengatur ulang kata sandi WorkSpaces, atau menyambungkan ke WorkSpaces, lihat Memecahkan WorkSpaces masalah klien di Panduan Pengguna Amazon. WorkSpaces

Proses pengecekan pencabutan sertifikat

Untuk melakukan otentikasi kartu pintar, AD Connector harus memeriksa status pencabutan sertifikat pengguna menggunakan Online Certificate Status Protocol (). OCSP Untuk melakukan pemeriksaan pencabutan sertifikat, OCSP responden URL harus dapat diakses internet. Jika menggunakan DNS nama, OCSP responden URL harus menggunakan domain tingkat atas yang ditemukan di Internet Assigned Numbers Authority (IANA) Root Zone Database.

Pemeriksaan pencabutan sertifikat AD Connector menggunakan proses berikut ini:

  • AD Connector harus memeriksa ekstensi Akses Informasi Otoritas (AIA) di sertifikat pengguna untuk OCSP respondenURL, kemudian AD Connector menggunakan ekstensi URL untuk memeriksa pencabutan.

  • Jika AD Connector tidak dapat menyelesaikan yang URL ditemukan di AIA ekstensi sertifikat pengguna, atau menemukan OCSP responden URL di sertifikat pengguna, maka AD Connector menggunakan opsional yang OCSP URL disediakan selama pendaftaran sertifikat CA root.

    Jika URL dalam AIA ekstensi sertifikat pengguna menyelesaikan tetapi tidak responsif, maka otentikasi pengguna gagal.

  • Jika OCSP responden yang URL diberikan selama pendaftaran sertifikat CA root tidak dapat menyelesaikan, tidak responsif, atau tidak ada OCSP responden yang URL diberikan, otentikasi pengguna gagal.

  • OCSPServer harus sesuai dengan RFC6960. Selain itu, OCSP server harus mendukung permintaan menggunakan GET metode untuk permintaan yang kurang dari atau sama dengan 255 byte secara total.

catatan

AD Connector membutuhkan HTTPURLuntuk OCSP respondenURL.

Pertimbangan

Sebelum mengaktifkan autentikasi kartu pintar di AD Connector, pertimbangkan item berikut ini:

  • AD Connector menggunakan autentikasi Transport Layer Security berbasis sertifikat (mutualTLS) untuk mengautentikasi pengguna ke Active Directory menggunakan sertifikat kartu pintar berbasis perangkat keras atau perangkat lunak. Hanya kartu akses umum (CAC) dan kartu verifikasi identitas pribadi (PIV) yang didukung saat ini. Jenis lain dari perangkat keras atau kartu pintar berbasis perangkat lunak mungkin berfungsi tetapi belum diuji untuk digunakan dengan Protokol Streaming. WorkSpaces

  • Otentikasi kartu pintar menggantikan otentikasi nama pengguna dan kata sandi ke. WorkSpaces

    Jika Anda memiliki AWS aplikasi lain yang dikonfigurasi di direktori AD Connector Anda dengan otentikasi kartu pintar diaktifkan, aplikasi tersebut masih menampilkan layar input nama pengguna dan kata sandi.

  • Mengaktifkan autentikasi kartu pintar membatasi panjang sesi pengguna ke maksimum seumur hidup untuk tiket layanan Kerberos. Anda dapat mengkonfigurasi pengaturan ini menggunakan Kebijakan Grup, dan diatur ke 10 jam secara default. Untuk informasi lebih lanjut tentang pengaturan ini, lihat Dokumentasi Microsoft.

  • Jenis enkripsi Kerberos yang didukung oleh akun layanan AD Connector harus sesuai dengan setiap jenis enkripsi Kerberos yang didukung pengontrol domain.

Mengaktifkan autentikasi kartu pintar

Untuk mengaktifkan otentikasi kartu pintar WorkSpaces di AD Connector, pertama-tama Anda harus mengimpor sertifikat otoritas sertifikat (CA) ke AD Connector. Anda dapat mengimpor sertifikat CA ke AD Connector menggunakan AWS Directory Service konsol, APIatau CLI. Gunakan langkah-langkah berikut untuk mengimpor sertifikat CA Anda dan selanjutnya mengaktifkan otentikasi kartu pintar.

Mengaktifkan delegasi terbatas Kerberos untuk akun layanan AD Connector

Untuk menggunakan autentikasi kartu pintar dengan AD Connector, Anda harus mengaktifkan Kerberos Constrained Delegation () untuk KCD akun AD Connector Service ke layanan di LDAP direktori AD yang dikelola sendiri.

Kerberos Constrained Delegation adalah sebuah fitur di Windows Server. Fitur ini mengizinkan administrator untuk menentukan dan memberlakukkan batasan kepercayaan aplikasi dengan membatasi lingkup tempat layanan aplikasi dapat bertindak atas nama pengguna. Untuk informasi selengkapnya, lihat Delegasi yang dibatasi Kerberos.

catatan

Kerberos Constrained Delegation (KCD) memerlukan bagian nama pengguna dari akun layanan AD Connector agar sesuai dengan sAMAccount Nama pengguna yang sama. sAMAccountNama dibatasi hingga 20 karakter. sAMAccountNama adalah atribut Microsoft Active Directory yang digunakan sebagai nama masuk untuk versi klien dan server Windows sebelumnya.

  1. Gunakan SetSpn perintah untuk menyetel Nama Utama Layanan (SPN) untuk akun layanan AD Connector di AD yang dikelola sendiri. Hal ini mengizinkan akun layanan untuk konfigurasi delegasi.

    SPNBisa berupa kombinasi layanan atau nama apa pun tetapi bukan duplikat dari yang sudah adaSPN. -s memeriksa adanya duplikat.

    setspn -s my/spn service_account

  2. Di Pengguna dan Komputer AD, buka menu konteks (klik kanan) dan pilih akun layanan AD Connector dan pilih Properties.

  3. Pilih tab Delegasi.

  4. Pilih Percayai pengguna ini untuk delegasi ke layanan tertentu saja dan Gunakan opsi protokol otentikasi apa pun.

  5. Pilih Tambahkan lalu Pengguna atau Komputer untuk menemukan pengendali domain.

  6. Pilih OKE untuk menampilkan daftar layanan tersedia yang digunakan untuk delegasi.

  7. Pilih jenis layanan ldap dan pilih OK.

  8. Pilih OK lagi untuk menyimpan konfigurasi.

  9. Ulangi proses ini untuk pengontrol domain lain di Direktori Aktif. Atau Anda dapat mengotomatiskan proses menggunakan PowerShell.

Mendaftarkan sertifikat CA di AD Connector

Gunakan salah satu metode berikut untuk mendaftarkan sertifikat CA untuk direktori AD Connector Anda.

Metode 1: Untuk mendaftarkan sertifikat CA Anda di AD Connector (AWS Management Console)

  1. Di panel navigasi konsol AWS Directory Service, pilih Direktori.

  2. Pilih tautan ID direktori untuk direktori Anda.

  3. Pada halaman Detail direktori, pilih tab Jaringan & keamanan.

  4. Di bagian Autentikasi kartu pintar, pilih Tindakan, lalu pilih Daftar sertifikat.

  5. Dalam kotak dialog Daftarkan sertifikat, pilih Pilih file, lalu pilih sertifikat dan pilih Buka. Anda dapat memilih untuk melakukan pengecekan pencabutan sertifikat ini dengan menyediakan responder Online Certificate Status Protocol ()OCSP. URL Untuk informasi lebih lanjut tentangOCSP, lihatProses pengecekan pencabutan sertifikat.

  6. Pilih Daftarkan sertifikat. Ketika Anda melihat perubahan status sertifikat menjadi Terdaftar, proses pendaftaran telah selesai dengan sukses.

Metode 2: Untuk mendaftarkan sertifikat CA Anda di AD Connector (AWS CLI)

  • Jalankan perintah berikut. Untuk data sertifikat, arahkan ke lokasi file sertifikat CA Anda. Untuk memberikan alamat OCSP responden sekunder, gunakan ClientCertAuthSettings objek opsional. 

    aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path --type ClientCertAuth --client-cert-auth-settings OCSPUrl=http://your_OCSP_address

    Jika berhasil, respons memberikan ID sertifikat. Anda juga dapat memverifikasi sertifikat CA Anda terdaftar berhasil dengan menjalankan CLI perintah berikut:

    aws ds list-certificates --directory-id your_directory_id

    Jika nilai status mengembalikan Registered, Anda telah berhasil mendaftarkan sertifikat Anda.

Mengaktifkan otentikasi kartu pintar untuk AWS aplikasi dan layanan yang didukung

Gunakan salah satu metode berikut untuk mendaftarkan sertifikat CA untuk direktori AD Connector Anda.

Metode 1: Untuk mengaktifkan otentikasi kartu pintar di AD Connector ()AWS Management Console

  1. Arahkan ke bagian otentikasi kartu pintar di halaman Detail direktori, dan pilih Aktifkan. Jika opsi ini tidak tersedia, verifikasi bahwa sertifikat yang valid telah berhasil terdaftar, dan kemudian coba lagi.

  2. Dalam kotak dialog Aktifkan otentikasi kartu pintar, pilih Aktifkan.

Metode 2: Untuk mengaktifkan otentikasi kartu pintar di AD Connector ()AWS CLI

  • Jalankan perintah berikut.

    aws ds enable-client-authentication --directory-id your_directory_id --type SmartCard

    Jika berhasil, AD Connector mengembalikan HTTP 200 respons dengan HTTP badan kosong.

Untuk informasi selengkapnya tentang melihat sertifikat, membatalkan pendaftaran, atau menonaktifkan sertifikat Anda, lihat. Mengelola pengaturan otentikasi kartu pintar