Habilitando o lado do cliente LDAPS usando o AD Connector - AWS Directory Service
Pré-requisitosHabilitando o lado do cliente LDAPS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Habilitando o lado do cliente LDAPS usando o AD Connector

O LDAPS suporte do lado do cliente no AD Connector criptografa as comunicações entre Microsoft Active Directory (AD) e AWS aplicativos. Exemplos desses aplicativos incluem WorkSpaces AWS IAM Identity Center QuickSight, Amazon e Amazon Chime. Essa criptografia ajuda você a proteger melhor os dados de identidade da organização e atender aos requisitos de segurança.

Você também pode cancelar o registro e desativar o lado do cliente. LDAPS

Tópicos

Pré-requisitos

Antes de habilitar o lado do clienteLDAPS, você precisa atender aos seguintes requisitos.

Implantar certificados de servidor no Active Directory

Para habilitar o lado do clienteLDAPS, você precisa obter e instalar certificados de servidor para cada controlador de domínio no Active Directory. Esses certificados serão usados pelo LDAP serviço para ouvir e aceitar automaticamente SSL as conexões dos LDAP clientes. Você pode usar SSL certificados emitidos por uma implantação interna dos Serviços de Certificados do Active Directory (ADCS) ou adquiridos de um emissor comercial. Para obter mais informações sobre os requisitos de certificado do servidor Active Directory, consulte LDAPover SSL (LDAPS) Certificate no site da Microsoft.

Requisitos de certificado de CA

Um certificado de autoridade de certificação (CA), que representa o emissor dos certificados do seu servidor, é necessário para a operação do lado do clienteLDAPS. Os certificados CA são combinados com os certificados do servidor que são apresentados pelos controladores de domínio do Active Directory para LDAP criptografar as comunicações. Observe os seguintes requisitos de certificado CA:

  • Para registrar um certificado, ele deve estar a mais de 90 dias da expiração.

  • Os certificados devem estar no formato Privacy-Enhanced Mail ()PEM. Se estiver exportando certificados CA de dentro do Active Directory, escolha X.509 codificado em base64 (. CER) como formato de arquivo de exportação.

  • No máximo, cinco (5) certificados de CA podem ser armazenados por diretório do AD Connector.

  • Certificados usando o algoritmo de PSS assinatura RSASSA - não são suportados.

Requisitos de rede

AWS o LDAP tráfego do aplicativo será executado exclusivamente na TCP porta 636, sem retorno para a LDAP porta 389. No entanto, LDAP as comunicações do Windows que suportam replicação, relações de confiança e muito mais continuarão usando a LDAP porta 389 com segurança nativa do Windows. Configure grupos AWS de segurança e firewalls de rede para permitir TCP comunicações na porta 636 no AD Connector (saída) e no Active Directory autogerenciado (entrada).

Habilitando o lado do cliente LDAPS

Para habilitar o lado do clienteLDAPS, você importa seu certificado de autoridade de certificação (CA) para o AD Connector e, em seguida, habilita LDAPS em seu diretório. Ao habilitar, todo o LDAP tráfego entre os AWS aplicativos e seu Active Directory autogerenciado fluirá com a criptografia de canal Secure Sockets Layer (SSL).

Você pode usar dois métodos diferentes para habilitar o lado do cliente LDAPS para seu diretório. Você pode usar o AWS Management Console método ou o AWS CLI método.

Registrando o certificado em AWS Directory Service

Use um dos métodos a seguir para registrar um certificado no AWS Directory Service.

Método 1: Para registrar seu certificado em AWS Directory Service (AWS Management Console)

  1. No painel de navegação do console do AWS Directory Service selecione Diretórios.

  2. Escolha o link do ID de seu diretório.

  3. Na página Directory details (Detalhes do diretório), escolha a guia Networking & security (Redes e segurança).

  4. Na LDAPS seção Lado do cliente, selecione o menu Ações e, em seguida, selecione Registrar certificado.

  5. Na caixa de diálogo Register a CA certificate (Registrar um certificado CA), selecione Browse (Procurar), escolha o certificado e selecione Open (Abrir).

  6. Escolha Register certificate (Registrar certificado).

Método 2: Para registrar seu certificado em AWS Directory Service (AWS CLI)

  • Execute o seguinte comando . Para os dados do certificado, aponte para o local do arquivo de certificado CA. Um ID de certificado será fornecido na resposta.

    aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path

Verificando o status do registro

Para ver o status de um registro de certificado ou uma lista de certificados registrados, use um dos comandos a seguir.

Método 1: Para verificar o status do registro do certificado em AWS Directory Service (AWS Management Console)

  1. Vá para a LDAPS seção do lado do cliente na página de detalhes do diretório.

  2. Revise o estado de registro de certificado atual exibido na coluna Registration status (Status do registro). Quando o valor do status do registro for alterado para Registered (Registrado), seu certificado foi registrado com êxito.

Método 2: Para verificar o status do registro do certificado em AWS Directory Service (AWS CLI)

  • Execute o seguinte comando . Se o valor de status retornar Registered, seu certificado foi registrado com êxito.

    aws ds list-certificates --directory-id your_directory_id

Habilitando o lado do cliente LDAPS

Use um dos métodos a seguir para habilitar a entrada do lado do cliente. LDAPS AWS Directory Service

nota

Você deve ter registrado com sucesso pelo menos um certificado antes de poder habilitar o lado do clienteLDAPS.

Método 1: Para habilitar o lado do cliente LDAPS em AWS Directory Service ()AWS Management Console

  1. Vá para a LDAPS seção do lado do cliente na página de detalhes do diretório.

  2. Escolha Habilitar. Se essa opção não estiver disponível, verifique se um certificado válido foi registrado com êxito e tente novamente.

  3. Na caixa de LDAPS diálogo Ativar do lado do cliente, escolha Ativar.

Método 2: Para habilitar o lado do cliente LDAPS em AWS Directory Service ()AWS CLI

  • Execute o seguinte comando .

    aws ds enable-ldaps --directory-id your_directory_id --type Client

Verificando LDAPS o status

Use um dos métodos a seguir para verificar o LDAPS status AWS Directory Service.

Método 1: Para verificar LDAPS o status em AWS Directory Service (AWS Management Console)

  1. Vá para a LDAPS seção do lado do cliente na página de detalhes do diretório.

  2. Se o valor do status for exibido como Ativado, LDAPS foi configurado com êxito.

Método 2: Para verificar LDAPS o status em AWS Directory Service (AWS CLI)

  • Execute o seguinte comando . Se o valor do status retornarEnabled, LDAPS foi configurado com sucesso.

    aws ds describe-ldaps-settings –directory-id your_directory_id

Para obter mais informações sobre como visualizar seu LDAPS certificado do lado do cliente, cancelar o registro ou desabilitar seu certificado, consulte. LDAPS Gerenciando o lado do cliente LDAPS