Prerequisiti - Amazon AppStream 2.0

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Prerequisiti

Prima di utilizzare l'autenticazione basata su certificati, completa le seguenti fasi.

  1. Configura una flotta unita a un dominio e configura la versione 2.0. SAML Assicurati di utilizzare il username@domain.com userPrincipalName formato per _Subject. SAML NameID Per ulteriori informazioni, consulta Fase 5: Creare asserzioni per la risposta di SAML autenticazione.

    Nota

    Non abilitare Accesso tramite smart card per Active Directory nello stack se desideri utilizzare l'autenticazione basata su certificati. Per ulteriori informazioni, consulta Smart card.

  2. Usa la versione AppStream 2.0 dell'agente 10-13-2022 o successiva con la tua immagine. Per ulteriori informazioni, consulta Conserva la tua immagine Amazon AppStream 2.0 Up-to-Date.

  3. (Facoltativo) Configura l'ObjectSidattributo nella tua asserzione. SAML Puoi utilizzare questo attributo per eseguire una mappatura efficace con l'utente di Active Directory. L'autenticazione basata sui certificati fallisce se l'ObjectSidattributo non corrisponde all'identificatore di sicurezza di Active Directory (SID) per l'utente specificato in _Subject. SAML NameID Per ulteriori informazioni, consulta Fase 5: Creare asserzioni per la risposta di SAML autenticazione.

  4. Aggiungi l'sts:TagSessionautorizzazione alla policy di fiducia dei IAM ruoli che usi con la tua configurazione 2.0. SAML Per ulteriori informazioni, consulta Passare i tag di sessione in AWS STS. Tale autorizzazione è necessaria per utilizzare l'autenticazione basata su certificati. Per ulteriori informazioni, consulta Fase 2: Creare un IAM ruolo federativo SAML 2.0.

  5. Crea un'autorità di certificazione (CA) AWS privata utilizzando Private CA, se non ne hai una configurata con Active Directory. AWS Per utilizzare l'autenticazione basata su certificati è necessaria una CA privata. Per ulteriori informazioni, consulta Pianificazione dell'implementazione delle AWS Private CA. Le seguenti impostazioni della CA AWS privata sono comuni per molti casi d'uso dell'autenticazione basata su certificati:

    • Opzioni per tipo CA

      • Modalità di utilizzo del certificato CA per certificati di breve durata: consigliata se utilizzi la CA solo per emettere certificati agli utenti finali per l'autenticazione basata su certificati.

      • Gerarchia a livello singolo con una CA root: scegli una CA subordinata se desideri effettuare l'integrazione con una gerarchia CA esistente.

    • Opzioni algoritmiche chiave: 2048 RSA

    • Opzioni per il nome distinto dell'oggetto: utilizza l'opzione più appropriata per identificare questa CA nell'archivio delle autorità di certificazione root attendibili di Active Directory.

    • Opzioni di revoca del certificato: distribuzione CRL

      Nota

      L'autenticazione basata su certificati richiede un punto di CRL distribuzione online accessibile sia dall'istanza della flotta AppStream 2.0 che dal controller di dominio. Ciò richiede un accesso non autenticato al bucket Amazon S3 configurato AWS per le voci CRL CA private o CloudFront una distribuzione con accesso al bucket Amazon S3 se blocca l'accesso pubblico. Per ulteriori informazioni su queste opzioni, consulta Pianificazione di un elenco di revoca dei certificati (). CRL

  6. Etichetta la tua CA privata con una chiave autorizzata euc-private-ca a designare la CA da utilizzare con l'autenticazione basata su certificati AppStream 2.0. Questa chiave non richiede un valore. Per ulteriori informazioni, consulta Gestione dei tag per l'autorità di certificazione privata. Per ulteriori informazioni sulle politiche AWS gestite utilizzate nella AppStream versione 2.0 per concedere le autorizzazioni alle risorse del tuo computer, consulta. Account AWSAWS Politiche gestite necessarie per accedere alle risorse AppStream 2.0

  7. L'autenticazione basata su certificati utilizza smart card virtuali per l'accesso. Per ulteriori informazioni, consulta Linee guida per abilitare l'accesso alle smart card con autorità di certificazione di terze parti. Completare la procedura riportata di seguito.

    1. Configura i controller di dominio con un certificato di controller di dominio per autenticare gli utenti di smart card. Se disponi di un'autorità di certificazione aziendale di Active Directory Certificate Services configurata in Active Directory, questa registra automaticamente i controller di dominio con i certificati per consentire l'accesso tramite smart card. Se non disponi di Active Directory Certificate Services, consulta Requisiti per i certificati dei controller di dominio emessi da una CA di terze parti. AWS consiglia alle autorità di certificazione aziendali di Active Directory di gestire automaticamente la registrazione per i certificati dei controller di dominio.

      Nota

      Se utilizzi AWS Managed Microsoft AD, puoi configurare Certificate Services su un'EC2istanza Amazon che soddisfi i requisiti per i certificati dei controller di dominio. Vedi Implementazione di Active Directory su un nuovo Amazon Virtual Private Cloud, ad esempio implementazioni di Managed AWS Microsoft AD configurate con Active Directory Certificate Services.

      Con AWS Managed Microsoft AD e Active Directory Certificate Services, devi anche creare regole in uscita dal gruppo di VPC sicurezza del controller all'EC2istanza Amazon che esegue Certificate Services. È necessario fornire al gruppo di sicurezza l'accesso alla TCP porta 135 e alle porte da 49152 a 65535 per abilitare la registrazione automatica dei certificati. L'EC2istanza Amazon deve inoltre consentire l'accesso in entrata su queste stesse porte dalle istanze di dominio, inclusi i controller di dominio. Per ulteriori informazioni sull'individuazione del gruppo di sicurezza per AWS Managed Microsoft AD, consulta Configurare le VPC sottoreti e i gruppi di sicurezza.

    2. Sulla console CA AWS privata o con SDK oCLI, esporta il certificato CA privato. Per ulteriori informazioni, consulta Esportazione di un certificato privato.

    3. Pubblica la CA privata in Active Directory. Accedi a un controller di dominio o a un computer aggiunto al dominio. Copia il certificato della CA privata su qualsiasi <path>\<file> ed esegui i seguenti comandi come amministratore di dominio. È inoltre possibile utilizzare Group Policy e Microsoft PKI Health Tool (PKIView) per pubblicare la CA. Per ulteriori informazioni, consulta Istruzioni per la configurazione.

      certutil -dspublish -f <path>\<file> RootCA
      certutil -dspublish -f <path>\<file> NTAuthCA

      Assicurati che i comandi vengano completati correttamente, quindi rimuovi il file della CA privata. A seconda delle impostazioni di replica di Active Directory, la pubblicazione da parte della CA sui controller di dominio e sulle istanze del parco istanze AppStream 2.0 può richiedere diversi minuti.

      Nota

      Active Directory deve distribuire automaticamente la CA alle Trusted Root Certification Authorities e agli Enterprise NTAuth Stores per le istanze del parco istanze AppStream 2.0 quando queste si aggiungono al dominio.

Per i sistemi operativi Windows, la distribuzione della CA (Certificate Authority) avviene automaticamente. Tuttavia, per Red Hat Enterprise Linux, è necessario scaricare i certificati CA root dalla CA utilizzata da AppStream 2.0 Directory Config. Se i certificati KDC della CA root sono diversi, è necessario scaricare anche quelli. Prima di utilizzare l'autenticazione basata su certificati, è necessario importare questi certificati su un'immagine o un'istantanea.

Nell'immagine dovrebbe esserci un file chiamato/. etc/sssd/pki/sssd_auth_ca_db.pem Avrà un aspetto simile al seguente:

-----BEGIN CERTIFICATE-----
Base64-encoded certificate chain from ACM Private CA 
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded certificate body from ACM private CA
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded root CA KDC certificate chain
-----END CERTIFICATE-----
Nota

Quando si copia un'immagine tra regioni o account o si riassocia un'immagine a una nuova Active Directory, è necessario riconfigurare questo file con i certificati pertinenti su un generatore di immagini e creare nuovamente un'istantanea prima dell'uso.

Di seguito sono riportate le istruzioni per scaricare i certificati CA root:

  1. Sul generatore di immagini, crea un file denominato/etc/sssd/pki/sssd_auth_ca_db.pem.

  2. Apri la console CA AWS privata.

  3. Scegliete il certificato privato usato con il vostro AppStream 2.0 Directory Config.

  4. Scegli la scheda del certificato CA.

  5. Copia la catena di certificati e l'ente del certificato in /etc/sssd/pki/sssd_auth_ca_db.pem On Image Builder.

Se i certificati CA root utilizzati da KDCs sono diversi dal certificato CA root utilizzato da Directory Config AppStream 2.0, segui questi passaggi di esempio per scaricarli:

  1. Connect a un'istanza Windows aggiunta allo stesso dominio del generatore di immagini.

  2. Aprire certlm.msc.

  3. Nel riquadro di sinistra, scegli Trusted Root Certificate Authorities, quindi scegli Certificati.

  4. Per ogni certificato CA principale, apri il menu contestuale (fai clic con il pulsante destro del mouse).

  5. Scegli Tutte le attività, scegli Esporta per aprire la procedura guidata di esportazione dei certificati, quindi scegli Avanti.

  6. Scegliete X.509 con codifica Base64 (. CER) e scegliete Avanti.

  7. Scegliete Sfoglia, immettete un nome di file e scegliete Avanti.

  8. Scegli Fine.

  9. Apri il certificato esportato in un editor di testo.

  10. Copia il contenuto del file nel generatore di immagini. /etc/sssd/pki/sssd_auth_ca_db.pem