Como habilitar o LDAPS no lado do cliente usando o AD Connector - AWS Directory Service
Pré-requisitosComo habilitar o LDAPS no lado do cliente

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como habilitar o LDAPS no lado do cliente usando o AD Connector

O suporte ao LDAPS do lado do cliente no AD Connector criptografa as comunicações entre o Microsoft Active Directory (AD) e as aplicações da AWS. Exemplos dessas aplicações incluem WorkSpaces, Centro de Identidade do AWS IAM, Quick Suite e Amazon Chime. Essa criptografia ajuda você a proteger melhor os dados de identidade da organização e atender aos requisitos de segurança.

Você também pode cancelar o registro e desabilitar o LDAPS no lado do cliente.

Tópicos

Pré-requisitos

Antes de habilitar o LDAPS no lado do cliente, você precisa atender aos requisitos a seguir.

Implantar certificados de servidor no Active Directory

Para habilitar o LDAPS no lado do cliente, é necessário obter e instalar certificados de servidor para cada controlador de domínio no Active Directory. Esses certificados serão usados pelo serviço LDAP para escutar e aceitar automaticamente as conexões SSL de clientes LDAP. Você pode usar os certificados SSL emitidos por uma implantação interna do Active Directory Certificate Services (ADCS) ou comprados de um emissor comercial. Para obter mais informações sobre os requisitos de certificado de servidor do Active Directory, consulte LDAP over SSL (LDAPS) Certificate no site da Microsoft.

Requisitos de certificado de CA

Um certificado de autoridade de certificação (CA), que representa o emissor dos certificados de servidor, é necessário para a operação LDAPS no lado do cliente. Os certificados CA são combinados com os certificados de servidor apresentados pelos controladores de domínio do Active Directory para criptografar as comunicações de LDAP. Observe os seguintes requisitos de certificado CA:

  • Para registrar um certificado, ele deve estar a mais de 90 dias da expiração.

  • Os certificados devem estar no formato PEM (Privacy Enhanced Mail). Se exportar certificados CA de dentro do Active Directory, escolha X.509 (.CER) codificado em base64 como o formato de arquivo de exportação.

  • No máximo, cinco (5) certificados de CA podem ser armazenados por diretório do AD Connector.

  • Não há suporte para certificados que usam o algoritmo de assinatura RSASSA-PSS.

Requisitos de rede

AWSO tráfego LDAP do aplicativo da será executado exclusivamente na porta TCP 636, sem fallback para a porta LDAP 389. Porém, as comunicações LDAP do Windows que oferecem suporte a replicação, relações de confiança e muito mais continuarão a usar a porta LDAP 389 com segurança nativa do Windows. Configure grupos de segurança da AWS e firewalls de rede para permitir comunicações TCP na porta 636 no AD Connector (saída) e no Active Directory autogerenciado (entrada).

Como habilitar o LDAPS no lado do cliente

Para habilitar o LDAPS no lado do cliente, importe seu certificado de autoridade de certificação (CA) para o AD Connector e habilite o LDAPS no seu diretório. Após a habilitação, todo o tráfego LDAP entre os aplicativos da AWS e o seu Active Directory autogerenciado fluirá com a criptografia de canal Secure Sockets Layer (SSL).

É possível usar dois métodos diferentes para habilitar o LDAPS do lado do cliente para seu diretório. É possível usar o método Console de gerenciamento da AWS ou o método AWS CLI.

Registro do certificado no Directory Service

Use um dos seguintes métodos para registrar um certificado no Directory Service.

Método 1: Como registrar seu certificado no Directory Service (Console de gerenciamento da AWS)

  1. No painel de navegação do console do AWS Directory Service selecione Diretórios.

  2. Escolha o link do ID de seu diretório.

  3. Na página Directory details (Detalhes do diretório), escolha a guia Networking & security (Redes e segurança).

  4. Na seção Client-side LDAPS (LDAPS do lado do cliente), selecione o menu Actions (Ações) e escolha Register certificate (Registrar certificado).

  5. Na caixa de diálogo Register a CA certificate (Registrar um certificado CA), selecione Browse (Procurar), escolha o certificado e selecione Open (Abrir).

  6. Escolha Register certificate (Registrar certificado).

Método 2: Como registrar seu certificado no Directory Service (AWS CLI)

  • Execute o comando a seguir. Para os dados do certificado, aponte para o local do arquivo de certificado CA. Um ID de certificado será fornecido na resposta.

    aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path

Verificar o status do registro

Para ver o status de um registro de certificado ou uma lista de certificados registrados, use um dos comandos a seguir.

Método 1: Como verificar o status do registro do certificado no Directory Service (Console de gerenciamento da AWS)

  1. Vá para a seção Client-side LDAPS (LDAPS do lado do cliente) na página Directory details (Detalhes do diretório).

  2. Revise o estado de registro de certificado atual exibido na coluna Registration status (Status do registro). Quando o valor do status do registro for alterado para Registered (Registrado), seu certificado foi registrado com êxito.

Método 2: Como verificar o status do registro do certificado no Directory Service (AWS CLI)

  • Execute o comando a seguir. Se o valor de status retornar Registered, seu certificado foi registrado com êxito.

    aws ds list-certificates --directory-id your_directory_id

Como habilitar o LDAPS no lado do cliente

Use um dos métodos a seguir para habilitar o LDAPS no lado do cliente no Directory Service.

nota

É necessário ter registrado com êxito pelo menos um certificado para habilitar o LDAPS do lado do cliente.

Método 1: Como habilitar o LDAPS do lado do cliente no Directory Service (Console de gerenciamento da AWS)

  1. Vá para a seção Client-side LDAPS (LDAPS do lado do cliente) na página Directory details (Detalhes do diretório).

  2. Escolha Habilitar. Se essa opção não estiver disponível, verifique se um certificado válido foi registrado com êxito e tente novamente.

  3. Na caixa de diálogo Enable client-side LDAPS (Habilitar LDAPS do lado do cliente), escolha Enable (Habilitar).

Método 2: Como habilitar o LDAPS do lado do cliente no Directory Service (AWS CLI)

  • Execute o comando a seguir.

    aws ds enable-ldaps --directory-id your_directory_id --type Client

Verificação do status do LDAPS

Use um dos métodos a seguir para verificar o status do LDAPS no Directory Service.

Método 1: Como verificar o status do LDAPS no Directory Service (Console de gerenciamento da AWS)

  1. Vá para a seção Client-side LDAPS (LDAPS do lado do cliente) na página Directory details (Detalhes do diretório).

  2. Se o valor de status for exibido como Enabled (Habilitado), o LDAPS foi configurado com êxito.

Método 2: Como verificar o status do LDAPS no Directory Service (AWS CLI)

  • Execute o comando a seguir. Se o valor de status retornar Enabled, o LDAPS foi configurado com êxito.

    aws ds describe-ldaps-settings –directory-id your_directory_id

Para obter mais informações sobre como visualizar o certificado LDAPS no lado do cliente, cancelar o registro ou desabilitar o certificado LDAPS, consulte Gerenciamento do LDAPS no lado do cliente.