Habilitando o LDAPS do lado do servidor usando o Microsoft AD gerenciado AWS - AWS Directory Service
Habilite o LDAPS do lado do servidor usando Autoridade de Certificação Privada da AWSHabilitar o LDAPS no lado do servidor usando Microsoft CA

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Habilitando o LDAPS do lado do servidor usando o Microsoft AD gerenciado AWS

O Lightweight Directory Access Protocol Secure Sockets Layer (SSL)/Transport Layer Security (TLS) (LDAPS) suporte do lado do servidor criptografa as LDAP comunicações entre seus LDAP aplicativos comerciais ou internos e seu diretório gerenciado do Microsoft AD. AWS Isso ajuda a aumentar a segurança em toda a rede e atender aos requisitos de conformidade usando o protocolo criptográfico Secure Sockets Layer (SSL).

Habilite o LDAPS do lado do servidor usando Autoridade de Certificação Privada da AWS

Para obter instruções detalhadas sobre como instalar e configurar o LDAPS do lado do servidor e seu servidor de autoridade de certificação (CA) usando, consulte. CA Privada da AWSConfigurar o CA Privada da AWS conector para AD para Microsoft AD AWS gerenciado

Habilitar o LDAPS no lado do servidor usando Microsoft CA

Para obter instruções detalhadas sobre como instalar e configurar o LDAPS do lado do servidor e seu servidor de autoridade de certificação (CA), consulte Como habilitar o LDAPS do lado do servidor para seu diretório AWS gerenciado do Microsoft AD no blog de segurança. AWS

Você deve fazer a maior parte da configuração na EC2 instância da Amazon que você usa para gerenciar seus controladores de domínio AWS gerenciados do Microsoft AD. As etapas a seguir guiarão você pelo processo de habilitar o LDAPS no domínio da Nuvem AWS.

Se quiser usar a automação para configurar sua PKI infraestrutura, você pode usar a infraestrutura de chave Microsoft pública no AWS QuickStart Guide. Especificamente, você deve seguir as instruções no guia para carregar o modelo para Implantar a MicrosoftPKI em uma VPC existente na AWS. Depois de carregar o modelo, certifique-se de escolher AWSManaged ao acessar a opção Tipo de serviços de domínio do Active Directory. Se você usou o QuickStart guia, pode pular diretamente paraEtapa 3: Criar um modelo de certificado.

Etapa 1: delegar quem pode habilitar o LDAPS

Para habilitar o LDAPS do lado do servidor, você deve ser membro do grupo Administradores ou Administradores da Autoridade Certificadora Empresarial AWS Delegada em seu diretório gerenciado do Microsoft AD. AWS Como opção, você pode ser o usuário administrativo padrão (conta de administrador). Se preferir, você poderá ter um usuário diferente do LDAPS de configuração da conta de administrador. Nesse caso, adicione esse usuário ao grupo Administradores ou Administradores da Autoridade de Certificação Empresarial AWS Delegada em seu diretório gerenciado do AWS Microsoft AD.

Etapa 2: configurar a autoridade de certificação

Antes de habilitar o LDAPS no lado do servidor, você deve criar um certificado. Esse certificado precisa ser emitido por um servidor Microsoft Enterprise CA que esteja associado ao domínio do AWS Managed Microsoft AD. Depois de criado, o certificado deve ser instalado em cada um dos controladores de domínio no domínio. Este certificado permite que o serviço LDAP em controladores de domínio escute e aceite automaticamente conexões SSL de clientes LDAP.

nota

O LDAPS do lado do servidor com AWS Microsoft AD gerenciado não oferece suporte a certificados emitidos por uma CA autônoma. Ele também não oferece suporte a certificados emitidos por uma autoridade de certificação de terceiros.

Dependendo de sua necessidade comercial, você tem as seguintes opções para configurar ou conectar uma CA a seu domínio:

  • Crie um subordinado Microsoft Enterprise CA — (Recomendado) Com essa opção, você pode implantar um Microsoft Enterprise CA servidor subordinado na AWS nuvem. O servidor pode usar a Amazon EC2 para funcionar com sua Microsoft CA raiz existente. Para obter mais informações sobre como configurar um subordinado MicrosoftEnterprise CA, consulte Etapa 4: Adicionar um Microsoft Enterprise CA ao seu AWS Microsoft AD diretório em Como habilitar o LDAPS do lado do servidor para seu diretório gerenciado AWS do Microsoft AD.

  • Crie uma raiz Microsoft Enterprise CA — Com essa opção, você pode criar uma raiz Microsoft Enterprise CA na AWS nuvem usando a Amazon EC2 e juntá-la ao seu domínio AWS gerenciado do Microsoft AD. Essa CA raiz pode emitir o certificado para seus controladores de domínio. Para obter mais informações sobre como configurar uma nova CA raiz, consulte Etapa 3: Instalar e configurar uma CA offline em Como habilitar o LDAPS do lado do servidor para seu diretório gerenciado do AWS Microsoft AD.

Para obter mais informações sobre como associar sua EC2 instância ao domínio, consulteFormas de associar uma EC2 instância da Amazon ao seu Microsoft AD AWS gerenciado.

Etapa 3: Criar um modelo de certificado

Após configurar a Enterprise CA, é possível configurar o modelo do certificado de autenticação Kerberos.

Para criar um modelo de certificado

  1. Inicie o Microsoft Windows Server Manager. Selecione Ferramentas > Autoridade de certificação.

  2. Na janela Autoridade de certificação, expanda a árvore de Autoridade de certificação no painel esquerdo. Clique com o botão direito do mouse em Modelos de certificado e escolha Gerenciar.

  3. Na janela Console de modelos de certificado, clique com o botão direito em Autenticação Kerberos e escolha Duplicar modelo.

  4. A janela Propriedades do novo modelo será exibida.

  5. Na janela Propriedades do novo modelo, vá até a guia Compatibilidade e faça o seguinte:

    1. Altere a Autoridade de certificação para o OS que corresponde à CA.

    2. Se a janela Alterações resultantes for exibida, selecione OK.

    3. Altere o Destinatário da certificação para Windows 10/Windows Server 2016.

      nota

      AWS O Microsoft AD gerenciado é desenvolvido porWindows Server 2019.

    4. Se a janela Alterações resultantes for exibida, selecione OK.

  6. Clique na guia Geral e altere o nome de exibição do modelo para LDAPOverSSL ou qualquer outro nome que você preferir.

  7. Clique na guia Segurança e escolha Controladores de domínio na seção Nomes de grupos ou usuários. Na seção Permissões para controladores de domínio, verifique se as caixas de seleção Permitir para Leitura, Inscrição e Inscrição automática estão marcadas.

  8. Escolha OK para criar o modelo de certificado LDAPOverSSL (ou o nome que você especificou acima). Feche a janela do Console de modelos de certificado.

  9. Na janela Autoridade de certificação, clique com o botão direito do mouse em Modelos de certificado e escolha Novo > Modelo de certificado para emitir.

  10. Na janela Ativar modelos de certificado, escolha LDAPOverSSL (ou o nome que você especificou acima) e, em seguida, escolha OK.

Etapa 4: adicionar regras do grupo de segurança

Na etapa final, você deve abrir o EC2 console da Amazon e adicionar regras de grupo de segurança. Essas regras permitem que os controladores de domínio se conectem à Enterprise CA para solicitar um certificado. Nesse caso, você adiciona regras de entrada de forma que a Enterprise CA possa aceitar o tráfego de entrada dos controladores de domínio. Depois, você adiciona regras de saída para permitir o tráfego dos controladores de domínio para a Enterprise CA.

Quando as duas regras estiverem configuradas, os controladores de domínio solicitarão um certificado da Enterprise CA automaticamente e habilitarão o LDAPS para o diretório. O serviço LDAP em nos controladores de domínio agora está pronto para aceitar conexões LDAPS.

Para configurar regras do grupo de segurança

  1. Navegue até o EC2 console da Amazon em https://console.aws.amazon.com/ec2 e faça login com as credenciais de administrador.

  2. No painel esquerdo, escolha Grupos de segurança em Rede e segurança.

  3. No painel principal, escolha o grupo AWS de segurança para sua CA.

  4. Escolha a guia Inbound e depois Edit.

  5. Na caixa de diálogo Edit inbound rules, faça o seguinte:

    • Escolha Add Rule.

    • Escolha All traffic para Type e Custom para Source.

    • Insira o grupo de AWS segurança (por exemplo,sg-123456789) para seu diretório na caixa ao lado de Fonte.

    • Escolha Salvar.

  6. Agora, escolha o grupo de AWS segurança do seu diretório AWS Managed Microsoft AD. Escolha a guia Outbound (Saída) e escolha Edit (Editar).

  7. Na caixa de diálogo Edit outbound rules, faça o seguinte:

    • Escolha Add Rule.

    • Escolha All traffic para Type e Custom para Destination.

    • Insira o grupo AWS de segurança da sua CA na caixa ao lado de Destino.

    • Escolha Salvar.

Você pode testar a conexão LDAPS com o diretório AWS Managed Microsoft AD usando a LDP ferramenta. A ferramenta LDP vem com as Active Directory Administrative Tools. Para obter mais informações, consulte Instalando as ferramentas de administração do Active Directory para o Microsoft AD AWS gerenciado.

nota

Antes de testar a conexão LDAPS, é necessário esperar até 30 minutos para que a CA subordinada emita um certificado para seus controladores de domínio.

Para obter detalhes adicionais sobre o LDAPS do lado do servidor e ver um exemplo de caso de uso sobre como configurá-lo, consulte Como habilitar o LDAPS do lado do servidor para seu diretório AWS gerenciado do Microsoft AD no blog de segurança. AWS