LDAPS使用 AD Connector 启用客户端 - AWS Directory Service
先决条件启用客户端 LDAPS

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

LDAPS使用 AD Connector 启用客户端

AD Connector 中的客户端LDAPS支持可加密两者之间的通信 Microsoft Active Directory (AD) 和 AWS 应用程序。此类应用程序的示例包括 WorkSpaces、 AWS IAM Identity Center QuickSight、Amazon 和 Amazon Chime。此加密可帮助您更好地保护您组织的身份数据并满足您的安全要求。

您也可以取消注册并禁用客户端LDAPS。

主题

先决条件

在启用客户端之前LDAPS,您需要满足以下要求。

在 Active Directory 中部署服务器证书

要启用客户端LDAPS,您需要为 Active Directory 中的每个域控制器获取并安装服务器证书。LDAP服务将使用这些证书来侦听和自动接受来自LDAP客户端的SSL连接。您可以使用SSL由内部 Active Directory 证书服务 (ADCS) 部署颁发的证书,也可以使用从商业发行机构购买的证书。有关 Active Directory 服务器证书要求的更多信息,请参阅 LDAP Microsoft 网站上的 over SSL(LDAPS) 证书

CA 证书要求

客户端LDAPS操作需要证书颁发机构 (CA) 证书,该证书代表服务器证书的颁发者。CA 证书与 Active Directory 域控制器提供的用于加密LDAP通信的服务器证书相匹配。请注意以下 CA 证书要求:

  • 要注册一个证书,该证书必须在 90 天以后才到期。

  • 证书必须采用隐私增强型邮件 () PEM 格式。如果从 Active Directory 内部导出 CA 证书,请选择 base64 编码的 X.509 (. CER) 作为导出文件格式。

  • 每个 AD Connector 目录最多可存储五(5)个 CA 证书。

  • 不支持使用 RSASSA-PSS 签名算法的证书。

联网要求

AWS 应用程序LDAP流量将仅在TCP端口 636 上运行,不会回退到LDAP端口 389。但是,支持复制、信任等的 Windows LDAP 通信将继续使用具有 Windows 原生安全性的LDAP端口 389。配置 AWS 安全组和网络防火墙,以允许 AD Connector(出站)和自我管理的 Active Directory(入站)中的端口 636 上进行TCP通信。

启用客户端 LDAPS

要启用客户端LDAPS,请将您的证书颁发机构 (CA) 证书导入 AD Connector,然后LDAPS在您的目录中启用。启用后, AWS 应用程序与您自行管理的 Active Directory 之间的所有LDAP流量都将通过安全套接字层 (SSL) 通道加密流动。

您可以使用两种不同的方法LDAPS为目录启用客户端。您可以使用 AWS Management Console 方法或 AWS CLI 方法。

在中注册证书 AWS Directory Service

使用以下任一方法在中注册证书 AWS Directory Service。

方法 1:在 AWS Directory Service (AWS Management Console) 中注册您的证书

  1. AWS Directory Service 控制台导航窗格中,选择目录

  2. 选择目录的目录 ID 链接。

  3. Directory details (目录详细信息) 页面上,选择 Networking & security (网络和安全性) 选项卡。

  4. 在 “客户端” LDAPS 部分,选择 “操作” 菜单,然后选择 “注册证书”。

  5. Register a CA certificate (注册 CA 证书) 对话框中,选择 Browse (浏览),然后选择证书并选择 Open (打开)

  6. 选择 Register certificate (注册证书)

方法 2:在 AWS Directory Service (AWS CLI) 中注册您的证书

  • 运行以下命令。对于证书数据,请指向 CA 证书文件的位置。响应中将会提供证书 ID。

    aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path

检查注册状态

要查看证书注册的状态或已注册证书的列表,请使用以下任一方法。

方法 1:在 AWS Directory Service (AWS Management Console) 中检查证书注册状态

  1. 转到目录详细信息页面上的 “客户端” LDAPS 部分。

  2. 查看 Registration status (注册状态) 列下显示的当前证书注册状态。当注册状态值更改为 Registered (已注册) 时,您的证书已成功注册。

方法 2:在 AWS Directory Service (AWS CLI) 中检查证书注册状态

  • 运行以下命令。如果状态值返回 Registered,则表示您的证书已成功注册。

    aws ds list-certificates --directory-id your_directory_id

启用客户端 LDAPS

使用以下任一方法LDAPS在中启用客户端。 AWS Directory Service

注意

必须先成功注册至少一个证书,然后才能启用客户端LDAPS。

方法 1:LDAPS在 AWS Directory Service ()AWS Management Console中启用客户端

  1. 转到目录详细信息页面上的 “客户端” LDAPS 部分。

  2. 请选择 启用。如果此选项不可用,请验证有效证书是否已成功注册,然后重试。

  3. 在 “启用客户端 LDAPS” 对话框中,选择 “启用”。

方法 2:LDAPS在 AWS Directory Service ()AWS CLI中启用客户端

  • 运行以下命令。

    aws ds enable-ldaps --directory-id your_directory_id --type Client

正在检查LDAPS状态

使用以下任一方法来检查LDAPS状态 AWS Directory Service。

方法 1:在 AWS Directory Service (AWS Management Console) 中查看LDAPS状态

  1. 转到目录详细信息页面上的 “客户端” LDAPS 部分。

  2. 如果状态值显示为 “LDAPS已启用”,则表示配置成功。

方法 2:在 AWS Directory Service (AWS CLI) 中查看LDAPS状态

  • 运行以下命令。如果返回状态值Enabled,LDAPS则表示配置成功。

    aws ds describe-ldaps-settings –directory-id your_directory_id

有关查看您的客户端LDAPS证书、取消注册或禁用证书的更多信息,请参LDAPS阅。管理客户端 LDAPS