Mengaktifkan LDAPS sisi server menggunakan Microsoft AD yang Dikelola AWS - AWS Directory Service
Aktifkan LDAPS sisi server menggunakan AWS Private Certificate AuthorityAktifkan LDAPS sisi server menggunakan CA Microsoft

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengaktifkan LDAPS sisi server menggunakan Microsoft AD yang Dikelola AWS

Lightweight Directory Access Protocol Secure Sockets Layer (SSL)/Transport Layer Security (TLS) (LDAPS)Dukungan sisi server mengenkripsi LDAP komunikasi antara aplikasi LDAP sadar komersial atau lokal Anda dan direktori Microsoft AD Terkelola Anda. AWS Ini membantu meningkatkan keamanan di seluruh kabel dan memenuhi persyaratan kepatuhan menggunakan protokol Secure Sockets Layer (SSL) kriptografi.

Aktifkan LDAPS sisi server menggunakan AWS Private Certificate Authority

Untuk petunjuk terperinci tentang cara mengatur dan mengonfigurasi LDAPS sisi server dan server otoritas sertifikat (CA) yang Anda gunakan, lihat. AWS Private CAMengatur AWS Private CA Konektor untuk AD untuk Microsoft AD yang AWS Dikelola

Aktifkan LDAPS sisi server menggunakan CA Microsoft

Untuk petunjuk terperinci tentang cara mengatur dan mengonfigurasi LDAPS sisi server dan server otoritas sertifikat (CA) Anda, lihat Cara Mengaktifkan LDAPS Sisi Server untuk Direktori Microsoft AD Terkelola Anda AWS di Blog Keamanan. AWS

Anda harus melakukan sebagian besar penyiapan dari EC2 instans Amazon yang Anda gunakan untuk mengelola pengontrol domain Microsoft AD AWS Terkelola. Langkah-langkah berikut memandu Anda untuk mengaktifkan LDAPS untuk domain Anda di. AWS Cloud

Jika Anda ingin menggunakan otomatisasi untuk mengatur PKI Infrastruktur Anda, Anda dapat menggunakan Infrastruktur Kunci Microsoft Publik pada AWS QuickStart Panduan. Secara khusus Anda akan ingin mengikuti petunjuk dalam panduan untuk memuat template untuk Deploy MicrosoftPKI ke dalam yang sudah ada VPC. AWS Setelah Anda memuat templat, pastikan untuk memilih AWSManaged saat Anda sampai ke opsi Jenis Layanan Domain Direktori Aktif. Jika Anda menggunakan QuickStart panduan ini, Anda dapat melompat langsung keLangkah 3: Membuat templat sertifikat.

Langkah 1: Delegasikan yang dapat mengaktifkan LDAPS

Untuk mengaktifkan LDAPS sisi server, Anda harus menjadi anggota grup Admin atau Administrator Otoritas Sertifikat Perusahaan yang AWS Delegasi di direktori Microsoft AD yang Dikelola. AWS Atau, Anda dapat menjadi pengguna administratif default (akun Admin). Jika mau, Anda dapat memiliki pengguna selain LDAPS pengaturan akun Admin. Jika demikian, tambahkan pengguna tersebut ke grup Admin atau Administrator Otoritas Sertifikat Perusahaan AWS yang Delegasi di direktori AD AWS Microsoft Terkelola Anda.

Langkah 2: Mengatur otoritas sertifikat Anda

Sebelum Anda dapat mengaktifkan LDAPS sisi server, Anda harus membuat sertifikat. Sertifikat ini harus dikeluarkan oleh Microsoft Enterprise CA server yang bergabung dengan domain Microsoft AD AWS Terkelola Anda. Setelah dibuat, sertifikat harus diinstal pada masing-masing pengendali domain Anda di domain tersebut. Sertifikat ini memungkinkan LDAP layanan pada pengontrol domain mendengarkan dan secara otomatis menerima SSL koneksi dari LDAP klien.

catatan

LDAPS sisi server dengan Microsoft AD yang AWS Dikelola tidak mendukung sertifikat yang dikeluarkan oleh CA mandiri. Itu juga tidak mendukung sertifikat yang dikeluarkan oleh otoritas sertifikasi pihak ketiga.

Tergantung pada kebutuhan bisnis Anda, Anda memiliki pilihan berikut untuk mengatur atau menghubungkan ke CA di domain Anda:

  • Buat bawahan Microsoft Enterprise CA — (Disarankan) Dengan opsi ini, Anda dapat menggunakan Microsoft Enterprise CA server bawahan di Cloud. AWS Server dapat menggunakan Amazon EC2 sehingga berfungsi dengan root Microsoft CA yang ada. Untuk informasi selengkapnya tentang cara menyiapkan bawahan MicrosoftEnterprise CA, lihat Langkah 4: Menambahkan Microsoft Enterprise CA ke AWS Microsoft AD direktori Anda di Cara Mengaktifkan LDAPS Sisi Server untuk Direktori Microsoft AD yang Dikelola. AWS

  • Buat root Microsoft Enterprise CA — Dengan opsi ini, Anda dapat membuat root Microsoft Enterprise CA di AWS Cloud menggunakan Amazon EC2 dan menggabungkannya ke domain Microsoft AD yang AWS Dikelola. Root CA ini dapat mengeluarkan sertifikat untuk pengendali domain Anda. Untuk informasi selengkapnya tentang menyiapkan CA root baru, lihat Langkah 3: Menginstal dan mengonfigurasi CA offline di Cara Mengaktifkan LDAPS Sisi Server untuk Direktori Microsoft AD yang Dikelola AWS Anda.

Untuk informasi selengkapnya tentang cara menggabungkan EC2 instans Anda ke domain, lihatCara untuk bergabung dengan EC2 instans Amazon ke Microsoft AD yang AWS Dikelola.

Langkah 3: Membuat templat sertifikat

Setelah Anda Enterprise CA telah diatur, Anda dapat mengkonfigurasi template sertifikat Kerberos otentikasi.

Membuat templat sertifikat

  1. Luncurkan Pengelola Server Microsoft Windows Pilih Alat > Otoritas Sertifikasi.

  2. Di jendela Otoritas Sertifikat, perluas pohon Otoritas Sertifikat di panel kiri. Klik kanan Templat Sertifikat, dan pilih Kelola.

  3. Di jendela Konsol Templat Sertifikat, klik kanan Autentikasi Kerberos dan pilih Templat Duplikasi.

  4. Jendela Properti Templat Baru akan muncul.

  5. Di jendela Properti Templat Baru, pergi ke tab Kompatibilitas, dan kemudian lakukan hal berikut:

    1. Ubah Otoritas Sertifikasi ke OS yang cocok dengan CA Anda.

    2. Jika jendela Perubahan yang dihasilkan muncul, pilih OK.

    3. Ubah penerima Sertifikasi ke Windows 10/Windows Server 2016.

      catatan

      AWS Microsoft AD yang dikelola didukung olehWindows Server 2019.

    4. Jika jendela Perubahan yang dihasilkan muncul, pilih OK.

  6. Klik tab Umum dan ubah nama tampilan Template menjadi LDAPOverSSL atau nama lain yang Anda inginkan.

  7. Klik tab Keamanan, dan pilih Pengontrol domain di bagian Nama grup atau pengguna. Di bagian Izin untuk Pengendali Domain, verifikasi bahwa kotak centang Izinkan untuk Baca, Mendaftar, danAutoenroll dicentang.

  8. Pilih OK untuk membuat template sertifikat LDAPOverSSL (atau nama yang Anda tentukan di atas). Tutup jendela Konsol Templat Sertifikat.

  9. Di jendela Otoritas Sertifikat, klik kanan Templat Sertifikat, dan pilih Baru > Templat Sertifikat untuk Diterbitkan.

  10. Di jendela Aktifkan Templat Sertifikat, pilih LDAPOverSSL (atau nama yang Anda tentukan di atas), lalu pilih OK.

Langkah 4: Menambahkan aturan grup keamanan

Pada langkah terakhir, Anda harus membuka EC2 konsol Amazon dan menambahkan aturan grup keamanan. Aturan ini memungkinkan pengontrol domain Anda terhubung ke Anda Enterprise CA untuk meminta sertifikat. Untuk melakukan ini, Anda menambahkan aturan masuk sehingga Anda Enterprise CA dapat menerima lalu lintas masuk dari pengontrol domain Anda. Kemudian Anda menambahkan aturan keluar untuk mengizinkan lalu lintas dari pengontrol domain Anda ke. Enterprise CA

Setelah kedua aturan telah dikonfigurasi, pengontrol domain Anda meminta sertifikat dari Anda Enterprise CA secara otomatis dan mengaktifkan LDAPS untuk direktori Anda. LDAPLayanan pada pengontrol domain Anda sekarang siap menerima koneksi LDAPS.

Mengonfigurasi aturan grup keamanan

  1. Arahkan ke EC2 konsol Amazon Anda di https://console.aws.amazon.com/ec2 dan masuk dengan kredensyal administrator.

  2. Di panel kiri, pilih Kelompok Keamanan di bawah Jaringan & Keamanan.

  3. Di panel utama, pilih grup AWS keamanan untuk CA Anda.

  4. Pilih tab Masuk, lalu pilih Edit .

  5. Di kotak dialog Edit aturan masuk, lakukan hal berikut:

    • Pilih Tambahkan aturan.

    • Pilih Semua Lalu lintas untuk Jenis dan Khususuntuk Sumber.

    • Masukkan grup AWS keamanan (misalnya,sg-123456789) untuk direktori Anda di kotak di sebelah Sumber.

    • Pilih Simpan.

  6. Sekarang pilih grup AWS keamanan direktori Microsoft AD AWS Terkelola Anda. Pilih tab Keluar, lalu pilih Edit.

  7. Di kotak dialog Edit aturan keluar, lakukan hal berikut:

    • Pilih Tambahkan aturan.

    • Pilih Semua Lalu lintas untuk Jenis dan Khususuntuk Tujuan.

    • Masukkan grup AWS keamanan untuk CA Anda di kotak di sebelah Tujuan.

    • Pilih Simpan.

Anda dapat menguji koneksi LDAPS ke direktori AWS Microsoft AD yang Dikelola menggunakan alat ini. LDP LDPAlat ini dilengkapi denganActive Directory Administrative Tools. Untuk informasi selengkapnya, lihat Menginstal Alat Administrasi Direktori Aktif untuk Microsoft AD yang AWS Dikelola.

catatan

Sebelum Anda menguji koneksi LDAPS, Anda harus menunggu hingga 30 menit untuk CA bawahan mengeluarkan sertifikat untuk pengendali domain Anda.

Untuk detail tambahan tentang LDAPS sisi server dan untuk melihat contoh kasus penggunaan tentang cara mengaturnya, lihat Cara Mengaktifkan LDAPS Sisi Server untuk Direktori Microsoft AD Terkelola Anda AWS di Blog Keamanan. AWS