Habilitación de LDAPS del lado del servidor mediante Microsoft AD administrado AWS - AWS Directory Service
Habilite los LDAPS del lado del servidor mediante AWS Private Certificate AuthorityHabilitar LDAPS del lado del servidor mediante CA de Microsoft

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilitación de LDAPS del lado del servidor mediante Microsoft AD administrado AWS

La Lightweight Directory Access Protocol Secure Sockets Layer (SSL)/Transport Layer Security (TLS) (LDAPS) compatibilidad del lado del servidor cifra LDAP las comunicaciones entre sus LDAP aplicaciones comerciales o propias y su directorio de Microsoft AD administrado. AWS Esto ayuda a mejorar la seguridad de todas las conexiones y a cumplir los requisitos de cumplimiento mediante el protocolo criptográfico Secure Sockets Layer (SSL).

Habilite los LDAPS del lado del servidor mediante AWS Private Certificate Authority

Para obtener instrucciones detalladas sobre cómo configurar y configurar el LDAPS del lado del servidor y el servidor de la entidad de certificación (CA) mediante AWS Private CA, consulte. Configurar el AWS Private CA conector para AD para Microsoft AD AWS administrado

Habilitar LDAPS del lado del servidor mediante CA de Microsoft

Para obtener instrucciones detalladas sobre cómo configurar y configurar el LDAPS del lado del servidor y el servidor de la entidad de certificación (CA), consulte Cómo habilitar el LDAPS del lado del servidor para su directorio AWS administrado de Microsoft AD en el blog de seguridad. AWS

Debe realizar la mayor parte de la configuración desde la EC2 instancia de Amazon que utiliza para administrar sus controladores de dominio AWS gestionados de Microsoft AD. Los siguientes pasos le guiarán por el proceso para habilitar LDAPS para su dominio en la Nube de AWS.

Si quieres usar la automatización para configurar tu PKI infraestructura, puedes usar la infraestructura de clave Microsoft pública de AWS QuickStart Guide. En concreto, querrá seguir las instrucciones de la guía para cargar la plantilla para Implementar MicrosoftPKI en una VPC existente de AWS. Una vez que cargue la plantilla, asegúrese de elegir AWSManaged cuando llegue la opción Tipo de servicios de dominio de Active Directory. Si ha utilizado la QuickStart guía, puede ir directamente aPaso 3: creación de una plantilla de certificado.

Paso 1: delegación de quién puede habilitar LDAPS

Para habilitar el LDAPS del lado del servidor, debe ser miembro del grupo Administradores o Administradores de Autoridades de Certificación Empresariales AWS Delegadas en su directorio de Microsoft AD administrado AWS . También puede ser el usuario administrativo predeterminado (cuenta de administrador). Si lo prefiere, puede tener un usuario distinto del administrador para la cuenta de LDAPS. En ese caso, añada ese usuario al grupo Administradores o Administradores de Autoridades de Certificación Empresariales AWS Delegadas en su directorio de AWS Microsoft AD administrado.

Paso 2: configuración de su entidad de certificación

Para poder habilitar LDAPS del lado del servidor, debe crear un certificado. Este certificado debe haber sido emitido por un servidor de Microsoft Enterprise CA empresarial de Microsoft que esté unido al dominio de AWS Managed Microsoft AD. Una vez creado, el certificado debe instalarse en cada uno de los controladores de dominio de ese dominio. Este certificado permite que el servicio LDAP de los controladores de dominio reciba y acepte automáticamente las conexiones SSL de clientes LDAP.

nota

El LDAPS del lado del servidor con AWS Microsoft AD administrado no admite los certificados emitidos por una CA independiente. Tampoco se admiten los certificados emitidos por una entidad de certificación de terceros.

Dependiendo de sus necesidades empresariales, dispone de las siguientes opciones para configurar o conectarse a una entidad de certificación en su dominio:

  • Crear un servidor subordinado Microsoft Enterprise CA: (recomendado) Con esta opción, puede implementar un servidor subordinado Microsoft Enterprise CA en la nube. AWS El servidor puede usar Amazon EC2 para que funcione con tu Microsoft CA raíz existente. Para obtener más información acerca de cómo configurar un subordinado MicrosoftEnterprise CA, consulte el paso 4: Agregar Microsoft Enterprise CA a su AWS Microsoft AD directorio en Cómo habilitar el LDAPS del lado del servidor para su directorio administrado de AWS Microsoft AD.

  • Crear una raíz Microsoft Enterprise CA: con esta opción, puedes crear una raíz Microsoft Enterprise CA en la AWS nube con Amazon EC2 y unirla a tu dominio AWS gestionado de Microsoft AD. Esta entidad de certificación raíz puede emitir el certificado para los controladores de dominio. Para obtener más información sobre la configuración de una nueva CA raíz, consulte el paso 3: Instalar y configurar una CA sin conexión en Cómo habilitar el LDAPS del lado del servidor para su directorio administrado de AWS Microsoft AD.

Para obtener más información sobre cómo unir la EC2 instancia al dominio, consulte. Formas de unir una EC2 instancia de Amazon a tu Microsoft AD AWS gestionado

Paso 3: creación de una plantilla de certificado

Una vez configurada la Enterprise CA, puede configurar la plantilla de certificado de autenticación Kerberos.

Creación de una plantilla de certificado

  1. Inicie Microsoft Windows Server Manager. Seleccione Herramientas > Autoridad de certificación.

  2. En la ventana Entidad de certificación, expanda el árbol Entidad de certificación en el panel izquierdo. Haga clic con el botón derecho en Plantillas de certificado y luego elija Administrar.

  3. En la ventana de Consola de plantillas de certificado de, haga clic con el botón derecho en Autenticación Kerberos y luego elija Plantilla duplicada.

  4. Aparecerá la ventana Propiedades de la nueva plantilla.

  5. En la ventana Propiedades de la nueva plantilla, vaya a la pestaña Compatibilidad y, a continuación, haga lo siguiente:

    1. Cambie la autoridad de certificación por el OS que coincida con su CA.

    2. Si aparece una ventana Cambios resultantes, seleccione Aceptar.

    3. Cambie el destinatario de la certificación a Windows 10/Windows Server 2016.

      nota

      AWS Managed Microsoft AD funciona conWindows Server 2019.

    4. Si aparecen ventanas de cambios resultantes, seleccione Aceptar.

  6. Haga clic en la pestaña General y cambie el nombre para mostrar de la plantilla a LDAPOverSSL o cualquier otro nombre que prefiera.

  7. Haga clic en la pestaña Seguridad y elija Controladores de dominio en la sección Nombres de usuarios o grupo. En la sección Permisos para controladores de dominio, compruebe que las casillas de verificación Permitir para Leer, Inscribir e Inscribir automáticamente estén activadas.

  8. Pulse Aceptar para crear la plantilla de certificado LDAPOverSSL (o el nombre que especificó anteriormente). Cierre la ventana de la Consola de plantillas de certificados.

  9. En la ventana Entidad de certificación, haga clic con el botón derecho en Plantillas de certificado y elija Nuevo > Plantilla de certificado que se va a emitir.

  10. En la ventana Habilitar plantillas de certificados, elija LDAPOverSSL (o el nombre que especificó anteriormente) y, a continuación, elija Aceptar.

Paso 4: adición de reglas de grupos de seguridad

En el último paso, debes abrir la EC2 consola de Amazon y añadir reglas de grupos de seguridad. Estas reglas permiten que los controladores de dominio se conecten a la Enterprise CA para solicitar un certificado. Para ello, tiene que añadir reglas de entrada para que su Enterprise CA pueda aceptar el tráfico entrante desde los controladores de dominio. A continuación, añada reglas de salida para permitir el tráfico desde los controladores de dominio a la Enterprise CA.

Una vez que ambas reglas se han configurado, los controladores de dominio solicitan automáticamente un certificado de su Enterprise CA y habilitan LDAPS para su directorio. El servicio de LDAP en los controladores de dominio ya está listo para aceptar conexiones LDAPS.

Configuración de reglas de grupos de seguridad

  1. Dirígete a la EC2 consola de Amazon en https://console.aws.amazon.com/ec2 e inicia sesión con las credenciales de administrador.

  2. En el panel izquierdo, elija Security Groups en Network & Security.

  3. En el panel principal, elija el grupo de AWS seguridad de su CA.

  4. Elija la pestaña Inbound (Entrada) y, a continuación, elija Edit (Editar).

  5. En el cuadro de diálogo Edit inbound rules, haga lo siguiente:

    • Seleccione Add Rule (Agregar regla).

    • Elija All traffic en Type y Custom en Source.

    • Introduzca el grupo de AWS seguridad (por ejemplo,sg-123456789) para su directorio en el cuadro situado junto a Fuente.

    • Seleccione Save.

  6. Ahora elija el grupo de AWS seguridad de su directorio AWS administrado de Microsoft AD. Elija la pestaña Outbound y, a continuación, elija Edit.

  7. En el cuadro de diálogo Edit outbound rules, haga lo siguiente:

    • Seleccione Add Rule (Agregar regla).

    • Elija All traffic en Type y Custom en Destination.

    • Introduzca el grupo AWS de seguridad de su CA en el cuadro situado junto a Destino.

    • Seleccione Save.

Puede probar la conexión LDAPS al directorio AWS administrado de Microsoft AD mediante la LDP herramienta. La herramienta LDP viene con las Active Directory Administrative Tools. Para obtener más información, consulte Instalación de herramientas de administración de Active Directory para Microsoft AD AWS administrado.

nota

Antes de probar la conexión LDAPS, debe esperar hasta 30 minutos a que la entidad de certificación subordinada emita un certificado para los controladores de dominio.

Para obtener más información sobre el LDAPS del lado del servidor y ver un ejemplo de caso de uso sobre cómo configurarlo, consulte Cómo habilitar el LDAPS del lado del servidor para su directorio AWS administrado de Microsoft AD en el blog de seguridad. AWS