Como habilitar o LDAPS no lado do servidor usando o AWS Managed Microsoft AD - AWS Directory Service
Habilitar o LDAPS no lado do servidor usando o Autoridade de Certificação Privada da AWSHabilitar o LDAPS no lado do servidor usando Microsoft CA

Como habilitar o LDAPS no lado do servidor usando o AWS Managed Microsoft AD

O suporte a Lightweight Directory Access Protocol Secure Sockets Layer (SSL)/Transport Layer Security (TLS) (LDAPS) no lado do servidor criptografa as comunicações LDAP entre as aplicações comerciais ou domésticas compatíveis com LDAP e no diretório do AWS Managed Microsoft AD. Isso ajuda a aumentar a segurança em toda a rede e atender aos requisitos de conformidade usando o protocolo criptográfico Secure Sockets Layer (SSL).

Habilitar o LDAPS no lado do servidor usando o Autoridade de Certificação Privada da AWS

Para obter instruções detalhadas sobre como instalar e configurar o LDAPS no lado do servidor e servidor de autoridade de certificação (CA) usando CA Privada da AWS, consulte Configuração do CA Privada da AWS Connector para AD no AWS Managed Microsoft AD.

Habilitar o LDAPS no lado do servidor usando Microsoft CA

Para obter instruções detalhadas sobre como instalar e configurar o LDAPS no lado do servidor e seu servidor de autoridade de certificação (CA), consulte Como habilitar o LDAPS no lado do servidor para seu diretório do AWS Managed Microsoft AD no Blog de segurança da AWS.

Você deve fazer a maior parte da configuração da instância do Amazon EC2 que você usa para gerenciar os controladores de domínio do AWS Managed Microsoft AD. As etapas a seguir guiarão você pelo processo de habilitar o LDAPS no domínio da Nuvem AWS.

Se desejar usar automação para configurar a infraestrutura de PKI, você poderá usar a infraestrutura de chave pública da Microsoft no Guia de início rápido da AWS. Especificamente, você deve seguir as instruções no guia para carregar o modelo para Implantar a MicrosoftPKI em uma VPCexistente na AWS. Depois de carregar o modelo, certifique-se de escolher AWSManaged ao acessar a opção Tipo de serviços de domínio do Active Directory. Se você usou o guia de inicio rápido poderá ir diretamente para a Etapa 3: Criar um modelo de certificado.

Etapa 1: delegar quem pode habilitar o LDAPS

Para habilitar o LDAPS no lado do servidor, é necessário ser membro do grupo Administradores ou Administradores delegados da autoridade de certificação corporativa da AWS no seu diretório do AWS Managed Microsoft AD. Como opção, você pode ser o usuário administrativo padrão (conta de administrador). Se preferir, você poderá ter um usuário diferente do LDAPS de configuração da conta de administrador. Nesse caso, adicione esse usuário ao grupo Administradores ou Administradores delegados da autoridade de certificação corporativa da AWS no seu diretório do AWS Managed Microsoft AD.

Etapa 2: configurar a autoridade de certificação

Antes de habilitar o LDAPS no lado do servidor, você deve criar um certificado. Esse certificado precisa ser emitido por um servidor Microsoft Enterprise CA que esteja associado ao domínio do AWS Managed Microsoft AD. Depois de criado, o certificado deve ser instalado em cada um dos controladores de domínio no domínio. Este certificado permite que o serviço LDAP em controladores de domínio escute e aceite automaticamente conexões SSL de clientes LDAP.

nota

O LDAPS no lado do servidor com o AWS Managed Microsoft AD não oferece suporte a certificados emitidos por uma CA autônoma. Ele também não oferece suporte a certificados emitidos por uma autoridade de certificação de terceiros.

Dependendo de sua necessidade comercial, você tem as seguintes opções para configurar ou conectar uma CA a seu domínio:

  • Criar uma Microsoft Enterprise CA (recomendado) — Com essa opção, você pode implantar um servidor de Microsoft Enterprise CA subordinada na Nuvem AWS. O servidor pode usar o Amazon EC2 para funcionar com a CA raiz da Microsoft existente. Para mais informações sobre como configurar um Microsoft Enterprise CA subordinado, consulte Etapa 4: adicionar um Microsoft Enterprise CA ao diretório AWS Microsoft AD em Como habilitar o LDAPS do lado do servidor para o diretório do AWS Managed Microsoft AD.

  • Criar uma Microsoft Enterprise CA raiz: essa opção permite criar uma Microsoft Enterprise CA raiz na Nuvem AWS usando o Amazon EC2 e associá-la domínio do AWS Managed Microsoft AD. Essa CA raiz pode emitir o certificado para seus controladores de domínio. Para obter mais informações sobre como configurar uma nova CA raiz, consulte Etapa 3: instalar e configurar uma CA offline em Como habilitar o LDAPS no lado do servidor para seu diretório do AWS Managed Microsoft AD.

Para obter mais informações sobre como adicionar a instância do EC2 ao domínio, consulte Maneiras de associar uma instância do Amazon EC2 ao AWS Managed Microsoft AD.

Etapa 3: Criar um modelo de certificado

Após configurar a Enterprise CA, é possível configurar o modelo do certificado de autenticação Kerberos.

Para criar um modelo de certificado

  1. Inicie o Microsoft Windows Server Manager. Selecione Ferramentas > Autoridade de certificação.

  2. Na janela Autoridade de certificação, expanda a árvore de Autoridade de certificação no painel esquerdo. Clique com o botão direito do mouse em Modelos de certificado e escolha Gerenciar.

  3. Na janela Console de modelos de certificado, clique com o botão direito em Autenticação Kerberos e escolha Duplicar modelo.

  4. A janela Propriedades do novo modelo será exibida.

  5. Na janela Propriedades do novo modelo, vá até a guia Compatibilidade e faça o seguinte:

    1. Altere a Autoridade de certificação para o OS que corresponde à CA.

    2. Se a janela Alterações resultantes for exibida, selecione OK.

    3. Altere o Destinatário da certificação para Windows 10/Windows Server 2016.

      nota

      AWS Managed Microsoft AD é baseado no Windows Server 2019.

    4. Se a janela Alterações resultantes for exibida, selecione OK.

  6. Clique na guia Geral e altere o Nome de exibição do modelo para LDAPOverSSL ou qualquer outro nome que você preferir.

  7. Clique na guia Segurança e escolha Controladores de domínio na seção Nomes de grupos ou usuários. Na seção Permissões para controladores de domínio, verifique se as caixas de seleção Permitir para Leitura, Inscrição e Inscrição automática estão marcadas.

  8. Escolha OK para criar o modelo de certificado LDAPOverSSL (ou o nome que você especificou acima). Feche a janela do Console de modelos de certificado.

  9. Na janela Autoridade de certificação, clique com o botão direito do mouse em Modelos de certificado e escolha Novo > Modelo de certificado para emitir.

  10. Na janela Habilitar modelos de certificado, escolha LDAPOverSSL (ou o nome que você especificou acima) e, em seguida, escolha OK.

Etapa 4: adicionar regras do grupo de segurança

Na etapa final, você deve abrir o console do Amazon EC2 e adicionar regras de grupo de segurança. Essas regras permitem que os controladores de domínio se conectem à Enterprise CA para solicitar um certificado. Nesse caso, você adiciona regras de entrada de forma que a Enterprise CA possa aceitar o tráfego de entrada dos controladores de domínio. Depois, você adiciona regras de saída para permitir o tráfego dos controladores de domínio para a Enterprise CA.

Quando as duas regras estiverem configuradas, os controladores de domínio solicitarão um certificado da Enterprise CA automaticamente e habilitarão o LDAPS para o diretório. O serviço LDAP em nos controladores de domínio agora está pronto para aceitar conexões LDAPS.

Para configurar regras do grupo de segurança

  1. Navegue até o console do Amazon EC2 em https://console.aws.amazon.com/ec2 e faça login com credenciais de administrador.

  2. No painel esquerdo, escolha Grupos de segurança em Rede e segurança.

  3. No painel principal, escolha o grupo de segurança da AWS para sua CA.

  4. Escolha a guia Inbound e depois Edit.

  5. Na caixa de diálogo Edit inbound rules, faça o seguinte:

    • Escolha Add Rule.

    • Escolha All traffic para Type e Custom para Source.

    • Insira o grupo de segurança da AWS do diretório (por exemplo, sg-123456789) na caixa de texto ao lado de Origem.

    • Escolha Salvar.

  6. Escolha agora o grupo de segurança da AWS do diretório do AWS Microsoft Managed AD. Escolha a guia Outbound (Saída) e escolha Edit (Editar).

  7. Na caixa de diálogo Edit outbound rules, faça o seguinte:

    • Escolha Add Rule.

    • Escolha All traffic para Type e Custom para Destination.

    • Digite o grupo de segurança da AWS da CA na caixa ao lado de Destino.

    • Escolha Salvar.

Você pode testar a conexão LDAPS com o diretório do AWS Microsoft Managed AD usando a ferramenta LDP. A ferramenta LDP vem com as Active Directory Administrative Tools. Para obter mais informações, consulte Instalação das ferramentas administrativas do Active Directory para o AWS Managed Microsoft AD.

nota

Antes de testar a conexão LDAPS, é necessário esperar até 30 minutos para que a CA subordinada emita um certificado para seus controladores de domínio.

Para obter mais detalhes sobre o LDAPS e ver um caso de uso de exemplo sobre como configurá-lo, consulte Como habilitar o LDAPS para seu diretório do AWS Microsoft Managed AD no Blog de segurança da AWS.