Habilitación del LDAPS del lado del servidor mediante el AWS Managed Microsoft AD - AWS Directory Service
Habilitación de LDAPS del servidor

Habilitación del LDAPS del lado del servidor mediante el AWS Managed Microsoft AD

La compatibilidad del protocolo ligero de acceso a directorios de la capa de conexión segura (SSL)/seguridad de la capa de transporte (TLS), (LDAPS), del lado del servidor, cifra las comunicaciones del LDAP entre las aplicaciones comerciales o personalizadas habilitadas para el LDAP y el directorio de AWS Managed Microsoft AD. Esto ayuda a mejorar la seguridad de todas las conexiones y a cumplir los requisitos de cumplimiento mediante el protocolo criptográfico SSL (Capa de conexión segura).

Habilitación de LDAPS del servidor

Para obtener instrucciones detalladas sobre cómo establecer y configurar LDAPS del servidor y el servidor de la entidad de certificación (CA), consulte How to Enable Server-Side LDAPS for Your AWS Managed Microsoft AD Directory en el blog de seguridad de AWS.

La mayor parte de la configuración se debe llevar a cabo desde la instancia de Amazon EC2 que se utiliza para administrar los controladores de dominio de AWS Managed Microsoft AD. Los siguientes pasos le guiarán por el proceso para habilitar LDAPS para su dominio en la nube de AWS.

Si quiere utilizar la automatización para configurar la infraestructura de PKI, puede utilizar la Guía rápida de AWS sobre Microsoft Public Key Infrastructure. En concreto, querrá seguir las instrucciones de la guía para cargar la plantilla para Implementar Microsoft PKI en una VPC existente de AWS. Una vez que cargue la plantilla, asegúrese de elegir AWSManaged cuando llegue la opción Tipo de servicios de dominio de Active Directory. Si ha utilizado la guía QuickStart, puede ir directamente a Paso 3: creación de una plantilla de certificado.

Paso 1: delegación de quién puede habilitar LDAPS

Para habilitar LDAPS del lado del servidor, debe ser miembro del grupo Administradores o Administradores de la entidad de certificación empresarial delegada de AWS en su directorio de AWS Managed Microsoft AD. También puede ser el usuario administrativo predeterminado (cuenta de administrador). Si lo prefiere, puede tener un usuario distinto del administrador para la cuenta de LDAPS. En ese caso, agregue ese usuario al grupo Administradores de la entidad de certificación empresarial delegada de AWS en su directorio de AWS Managed Microsoft AD.

Paso 2: configuración de su entidad de certificación

Para poder habilitar LDAPS del lado del servidor, debe crear un certificado. Este certificado debe haber sido emitido por un servidor de entidad de certificación (CA) empresarial de Microsoft que esté unido al dominio de AWS Managed Microsoft AD. Una vez creado, el certificado debe instalarse en cada uno de los controladores de dominio de ese dominio. Este certificado permite que el servicio LDAP de los controladores de dominio reciba y acepte automáticamente las conexiones SSL de clientes LDAP.

nota

LDAPS del servidor con AWS Managed Microsoft AD no admite certificados emitidos por una entidad de certificación independiente. Tampoco se admiten los certificados emitidos por una entidad de certificación de terceros.

Dependiendo de sus necesidades empresariales, dispone de las siguientes opciones para configurar o conectarse a una entidad de certificación en su dominio:

  • Crear una entidad de certificación empresarial subordinada de Microsoft: (recomendado) esta opción le permite implementar un servidor de entidad de certificación de Microsoft en la nube de AWS. El servidor puede utilizar Amazon EC2 para que funcione con la CA raíz de Microsoft existente. Para obtener más información acerca de cómo configurar una CA empresarial subordinada de Microsoft, consulte Paso 4: agregar una CA empresarial de Microsoft al directorio de AWS Microsoft AD en Cómo habilitar LDAPS del lado del servidor para su directorio de AWS Managed Microsoft AD.

  • Crear una entidad de certificación empresarial de Microsoft raíz: esta opción le permite crear una entidad de certificación empresarial de Microsoft en la nube de AWS con Amazon EC2 y unirla a su dominio de AWS Managed Microsoft AD. Esta entidad de certificación raíz puede emitir el certificado para los controladores de dominio. Para obtener más información sobre la configuración de una nueva CA raíz, consulte el Paso 3: instalar y configurar una CA sin conexión en Cómo habilitar LDAPS del lado del servidor para AWS Managed Microsoft AD Directory.

Para obtener más información acerca de cómo unir la instancia EC2 al dominio, consulte Cómo vincular una instancia de Amazon EC2 a su directorio de AWS Managed Microsoft AD.

Paso 3: creación de una plantilla de certificado

Una vez configurada la CA de empresa, puede configurar la plantilla de certificado de autenticación Kerberos.

Creación de una plantilla de certificado

  1. Inicie Microsoft Windows Server Manager. Seleccione Herramientas > Autoridad de certificación.

  2. En la ventana Entidad de certificación, expanda el árbol Entidad de certificación en el panel izquierdo. Haga clic con el botón derecho en Plantillas de certificado y luego elija Administrar.

  3. En la ventana de Consola de plantillas de certificado de, haga clic con el botón derecho en Autenticación Kerberos y luego elija Plantilla duplicada.

  4. Aparecerá la ventana Propiedades de la nueva plantilla.

  5. En la ventana Propiedades de la nueva plantilla, vaya a la pestaña Compatibilidad y, a continuación, haga lo siguiente:

    1. Cambie la autoridad de certificación por el sistema operativo que coincida con su CA.

    2. Si aparece una ventana Cambios resultantes, seleccione Aceptar.

    3. Cambie el destinatario de la certificación a Windows 10/Windows Server 2016.

      nota

      AWS Managed Microsoft AD funciona con Windows Server 2019.

    4. Si aparecen ventanas de cambios resultantes, seleccione Aceptar.

  6. Haga clic en la pestaña General y cambie el nombre para mostrar de la plantilla a LDAPOVERSSL o cualquier otro nombre que prefiera.

  7. Haga clic en la pestaña Seguridad y elija Controladores de dominio en la sección Nombres de usuarios o grupo. En la sección Permisos para controladores de dominio, compruebe que las casillas de verificación Permitir para Leer, Inscribir e Inscribir automáticamente estén activadas.

  8. Haga clic en Aceptar para crear la plantilla del certificado LDAPOVERSSL (o el nombre que especificó anteriormente). Cierre la ventana de la Consola de plantillas de certificados.

  9. En la ventana Entidad de certificación, haga clic con el botón derecho en Plantillas de certificado y elija Nuevo > Plantilla de certificado que se va a emitir.

  10. En la ventana Habilitar plantillas de certificados, elija LDAPOVERSSL (o el nombre que especificó anteriormente) y, a continuación, elija Aceptar.

Paso 4: adición de reglas de grupos de seguridad

En el paso final, debe abrir la consola de Amazon EC2 y agregar reglas del grupo de seguridad. Estas reglas permiten que los controladores de dominio se conecten a la CA empresarial para solicitar un certificado. Para ello, tiene que añadir reglas de entrada para que su entidad de certificación empresarial pueda aceptar el tráfico entrante desde los controladores de dominio. A continuación, añada reglas de salida para permitir el tráfico desde los controladores de dominio a la entidad de certificación empresarial.

Una vez que ambas reglas se han configurado, los controladores de dominio solicitan automáticamente un certificado de su entidad de certificación empresarial y habilitan LDAPS para su directorio. El servicio de LDAP en los controladores de dominio ya está listo para aceptar conexiones LDAPS.

Configuración de reglas de grupos de seguridad

  1. Vaya a la consola de Amazon EC2 en https://console.aws.amazon.com/ec2 e inicie sesión con las credenciales de administrador.

  2. En el panel izquierdo, elija Security Groups en Network & Security.

  3. En el panel principal, elija el grupo de seguridad de AWS para la entidad de certificación.

  4. Elija la pestaña Inbound (Entrada) y, a continuación, elija Edit (Editar).

  5. En el cuadro de diálogo Edit inbound rules, haga lo siguiente:

    • Seleccione Add Rule (Agregar regla).

    • Elija All traffic en Type y Custom en Source.

    • Escriba el grupo de seguridad de AWS del directorio (por ejemplo, sg-123456789) en el recuadro junto a Source (Origen).

    • Seleccione Guardar.

  6. Ahora elija el grupo de seguridad de AWS de su directorio de AWS Managed Microsoft AD. Elija la pestaña Outbound y, a continuación, elija Edit.

  7. En el cuadro de diálogo Edit outbound rules, haga lo siguiente:

    • Seleccione Add Rule (Agregar regla).

    • Elija All traffic en Type y Custom en Destination.

    • Escriba el grupo de seguridad de AWS de la entidad de certificación en la casilla situada junto a Destination (Destino).

    • Seleccione Guardar.

Puede probar la conexión LDAPS con el directorio de AWS Managed Microsoft AD mediante la herramienta LDP. La herramienta LDP viene con las herramientas de administración de Active Directory. Para obtener más información, consulte Instalación de las herramientas de administración del Active Directory para el AWS Managed Microsoft AD.

nota

Antes de probar la conexión LDAPS, debe esperar hasta 30 minutos a que la entidad de certificación subordinada emita un certificado para los controladores de dominio.

Para obtener más información acerca de LDAPS del lado del servidor y ver un caso de uso de ejemplo sobre cómo configurarlo, consulte How to Enable Server-Side LDAPS for Your AWS Managed Microsoft AD Directory en el blog de seguridad de AWS.