Abilitazione lato client LDAPS tramite AD Connector - AWS Directory Service
PrerequisitiAbilitazione lato client LDAPS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Abilitazione lato client LDAPS tramite AD Connector

Il LDAPS supporto lato client in AD Connector crittografa le comunicazioni tra Microsoft Active Directory (AD) e applicazioni. AWS Esempi di tali applicazioni includono WorkSpaces Amazon QuickSight e Amazon Chime. AWS IAM Identity Center Questa crittografia consente di proteggere meglio i dati di identità dell'organizzazione e soddisfare i requisiti di sicurezza.

Puoi anche annullare la registrazione e disabilitare il lato client. LDAPS

Argomenti

Prerequisiti

Prima di abilitare la funzionalità lato clientLDAPS, è necessario soddisfare i seguenti requisiti.

Distribuire certificati server in Active Directory

Per abilitare il lato clientLDAPS, è necessario ottenere e installare i certificati server per ogni controller di dominio in Active Directory. Questi certificati verranno utilizzati dal LDAP servizio per ascoltare e accettare automaticamente le SSL connessioni dai LDAP client. È possibile utilizzare SSL certificati emessi da una distribuzione interna di Active Directory Certificate Services (ADCS) o acquistati da un emittente commerciale. Per ulteriori informazioni sui requisiti dei certificati del server Active Directory, vedere LDAPover SSL (LDAPS) Certificate sul sito Web di Microsoft.

Requisiti del certificato CA

Per il funzionamento lato client LDAPS è necessario un certificato di autorità di certificazione (CA), che rappresenta l'emittente dei certificati del server. I certificati CA vengono abbinati ai certificati server presentati dai controller di dominio Active Directory per crittografare le comunicazioni. LDAP Tenere presenti i seguenti requisiti del certificato CA:

  • Per registrare un certificato, sono necessari più di 90 giorni dalla scadenza.

  • I certificati devono essere in formato Privacy-Enhanced Mail (). PEM Se esportate i certificati CA dall'interno di Active Directory, scegliete X.509 con codifica base64 (. CER) come formato di file di esportazione.

  • È possibile archiviare un massimo di cinque (5) certificati CA per la directory AD Connector.

  • I certificati che utilizzano l'algoritmo RSASSA - PSS signature non sono supportati.

Requisiti di rete

AWS LDAPil traffico delle applicazioni verrà eseguito esclusivamente sulla TCP porta 636, senza alcun fallback sulla LDAP porta 389. Tuttavia, LDAP le comunicazioni Windows che supportano la replica, i trust e altro continueranno a utilizzare la LDAP porta 389 con sicurezza nativa per Windows. Configura i gruppi AWS di sicurezza e i firewall di rete per consentire le TCP comunicazioni sulla porta 636 in AD Connector (in uscita) e Active Directory autogestita (in entrata).

Abilitazione lato client LDAPS

Per abilitare il lato clientLDAPS, devi importare il certificato dell'autorità di certificazione (CA) in AD Connector, quindi abilitarlo nella tua LDAPS directory. Una volta abilitato, tutto il LDAP traffico tra le AWS applicazioni e l'Active Directory autogestito fluirà con la crittografia del canale Secure Sockets Layer ()SSL.

È possibile utilizzare due metodi diversi per abilitare il lato client LDAPS per la directory. È possibile utilizzare il AWS Management Console metodo o il AWS CLI metodo.

Registrazione del certificato in AWS Directory Service

Utilizza uno dei seguenti metodi per registrare un certificato in AWS Directory Service.

Metodo 1: Per registrare il certificato in AWS Directory Service (AWS Management Console)

  1. Nel riquadro di navigazione della console AWS Directory Service, seleziona Directory.

  2. Seleziona il collegamento dell'ID per la tua directory.

  3. Nella pagina Directory details (Dettagli della directory) selezionare la scheda Networking & security (Reti e sicurezza).

  4. Nella LDAPS sezione Client, seleziona il menu Azioni, quindi seleziona Registra certificato.

  5. Nella finestra di dialogo Register a CA certificate (Registra un certificato CA) selezionare Browse (Sfoglia), quindi selezionare il certificato e scegliere Open (Apri).

  6. Scegliere Register certificate (Registra certificato).

Metodo 2: Per registrare il certificato in AWS Directory Service ()AWS CLI

  • Esegui il comando seguente. Per i dati del certificato, scegliere il percorso del file del certificato CA. Nella risposta verrà fornito un ID certificato.

    aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path

Verifica dello stato della registrazione

Per visualizzare lo stato di una registrazione di certificati o di un elenco di certificati registrati, utilizzare uno dei seguenti metodi.

Metodo 1: per controllare lo stato di registrazione del certificato in AWS Directory Service (AWS Management Console)

  1. Vai alla LDAPS sezione lato client della pagina dei dettagli della directory.

  2. Esaminare lo stato di registrazione del certificato corrente visualizzato nella colonna Registration status (Stato registrazione). Quando il valore dello stato di registrazione cambia in Registered (Registrato), il certificato è stato registrato.

Metodo 2: per controllare lo stato di registrazione del certificato in AWS Directory Service ()AWS CLI

  • Esegui il comando seguente. Se il valore dello stato restituisce Registered, il certificato è stato registrato.

    aws ds list-certificates --directory-id your_directory_id

Abilitazione lato client LDAPS

Utilizzate uno dei seguenti metodi per abilitare l'accesso lato clientLDAPS. AWS Directory Service

Nota

È necessario aver registrato correttamente almeno un certificato prima di poter abilitare il lato client. LDAPS

Metodo 1: abilitare l'accesso lato client () LDAPS AWS Directory ServiceAWS Management Console

  1. Vai alla LDAPS sezione lato client nella pagina dei dettagli della directory.

  2. Scegli Abilita . Se questa opzione non è disponibile, verificare che un certificato valido sia stato registrato e riprovare.

  3. Nella finestra di LDAPS dialogo Abilita lato client, scegli Abilita.

Metodo 2: per abilitare l'accesso lato client () LDAPS AWS Directory ServiceAWS CLI

  • Esegui il comando seguente.

    aws ds enable-ldaps --directory-id your_directory_id --type Client

Verifica dello stato LDAPS

Utilizzate uno dei seguenti metodi per verificare lo LDAPS stato AWS Directory Service.

Metodo 1: per controllare LDAPS lo stato in AWS Directory Service (AWS Management Console)

  1. Vai alla LDAPS sezione lato client della pagina dei dettagli della directory.

  2. Se il valore di stato viene visualizzato come Abilitato, significa che LDAPS è stato configurato correttamente.

Metodo 2: per controllare LDAPS lo stato in AWS Directory Service (AWS CLI)

  • Esegui il comando seguente. Se il valore di status viene restituitoEnabled, LDAPS è stato configurato con successo.

    aws ds describe-ldaps-settings –directory-id your_directory_id

Per ulteriori informazioni sulla visualizzazione del certificato sul lato client, sull'annullamento della registrazione o sulla disabilitazione del LDAPS certificato, consulta. LDAPS Gestione lato client LDAPS