Activer LDAPS côté serveur à l'aide de Managed Microsoft AD AWS

La prise en charge du protocole SSL (Lightweight Directory Access Protocol) /Transport Layer Security (TLS) (LDAPS) côté serveur chiffre les communications LDAP entre vos applications commerciales ou locales compatibles LDAP et votre annuaire Microsoft AD géré. AWS Cela permet d'améliorer la sécurité de votre réseau et de répondre aux critères de conformité à l'aide du protocole de chiffrement SSL (Secure Sockets Layer).

Activer LDAPS côté serveur

Pour obtenir des instructions détaillées sur la façon de configurer et de configurer le protocole LDAPS côté serveur et votre serveur d'autorité de certification (CA), consultez la section Comment activer le protocole LDAPS côté serveur pour votre annuaire Microsoft AD AWS géré sur le blog de sécurité. AWS

Vous devez effectuer la plupart des tâches de configuration à partir de l'instance Amazon EC2 que vous utilisez pour gérer vos contrôleurs de domaine AWS Managed Microsoft AD. Les étapes suivantes vous indiquent comment activer LDAPS pour votre domaine dans le AWS cloud.

Si vous souhaitez utiliser l'automatisation pour configurer votre infrastructure PKI, vous pouvez utiliser l'infrastructure à clé publique Microsoft sur AWS QuickStart Guide. Plus précisément, vous devez suivre les instructions du guide pour charger le modèle de déploiement de Microsoft PKI dans un VPC existant sur AWS. Une fois que vous avez chargé le modèle, assurez-vous de choisir AWSManaged quand vous accédez à l'option Type de services de domaine Active Directory. Si vous avez utilisé le QuickStart guide, vous pouvez accéder directement àÉtape 3 : créer un modèle de certificat.

Étape 1 : déléguer les rôles autorisés à activer LDAPS

Pour activer le protocole LDAPS côté serveur, vous devez être membre du groupe Admins ou AWS Delegated Enterprise Certificate Authority Administrators de votre annuaire AWS Microsoft AD géré. Vous pouvez également être l'utilisateur administratif par défaut (compte Admin). Si vous préférez, vous pouvez faire en sorte qu'un autre utilisateur que le compte Admin configure LDAPS. Dans ce cas, ajoutez cet utilisateur au groupe Admins ou AWS Delegated Enterprise Certificate Authority Administrators dans votre répertoire AWS Managed Microsoft AD.

Étape 2 : configurer votre autorité de certification

Avant de pouvoir activer LDAPS côté serveur, vous devez créer un certificat. Ce certificat doit être émis par un serveur Microsoft Enterprise CA joint à votre domaine Microsoft AD AWS géré. Une fois créé, le certificat doit être installé sur chacun des contrôleurs de domaine qui se trouvent dans ce domaine. Ce certificat permet au service LDAP se trouvant sur les contrôleurs de domaine d'écouter et d'accepter automatiquement les connexions SSL provenant de clients LDAP.

Note

Le protocole LDAPS côté serveur avec AWS Microsoft AD géré ne prend pas en charge les certificats émis par une autorité de certification autonome. Il ne prend pas non plus en charge les certificats émis par une autorité de certification tierce.

Selon vos besoins spécifiques, vous disposez de différentes options pour configurer une autorité de certification ou pour vous connecter à une autorité de certification dans votre domaine :

• Créer une autorité de certification Microsoft Enterprise subordonnée — (recommandé) Cette option vous permet de déployer un serveur Microsoft Enterprise CA subordonnée dans le AWS cloud. Le serveur peut utiliser Amazon EC2 pour fonctionner avec votre autorité de certification Microsoft racine existante. Pour plus d'informations sur la configuration d'une autorité de certification Microsoft Enterprise subordonnée, consultez Étape 4 : ajouter une autorité de certification Microsoft Enterprise à votre répertoire AWS Microsoft AD dans Comment activer le protocole LDAPS côté serveur pour votre répertoire AWS Microsoft AD géré.

• Créer une autorité de certification Microsoft d'entreprise racine : avec cette option, vous pouvez créer une autorité de certification Microsoft d'entreprise racine dans le AWS cloud à l'aide d'Amazon EC2 et la joindre à votre domaine AWS Microsoft AD géré. Cette autorité de certification racine peut émettre le certificat sur vos contrôleurs de domaine. Pour plus d'informations sur la configuration d'une nouvelle autorité de certification racine, voir Étape 3 : Installation et configuration d'une autorité de certification hors ligne dans Comment activer le protocole LDAPS côté serveur pour votre annuaire AWS Microsoft AD géré.

Pour en savoir plus sur la manière d'associer votre instance EC2 à votre domaine, veuillez consulter Joindre une instance Amazon EC2 à votre compte AWS Microsoft AD géré Active Directory.

Étape 3 : créer un modèle de certificat

Une fois votre autorité de certification d'entreprise configurée, vous pouvez configurer le modèle de certificat d'authentification Kerberos.

Pour créer un modèle de certificat

1. Lancez Microsoft Windows Server Manager. Sélectionnez Outils > Autorité de certification.

2. Dans la fenêtre Autorité de certification, développez l'arborescence Autorité de certification dans le volet de gauche. Cliquez avec le bouton droit sur Modèles de certificats, puis sélectionnezGérer.

3. Dans la fenêtre Console de modèles de certificats, cliquez avec le bouton droit sur Authentification Kerberos, puis sélectionnez Dupliquer le modèle.

4. La fenêtre Propriétés du nouveau modèle s'ouvre.

5. Dans la fenêtre Propriétés du nouveau modèle, accédez à l'onglet Compatibilité, puis procédez comme suit :

   1. Remplacez l'Autorité de certification par le système d'exploitation correspondant à votre autorité de certification.

   2. Si une fenêtre Modifications résultantes s'affiche, sélectionnez OK.

   3. Changez le destinataire de la certification en Windows 10/Windows Server 2016.

      Note

      AWS Managed Microsoft AD est alimenté par Windows Server 2019.

   4. Si la fenêtre Modifications résultantes s'affiche, sélectionnez OK.

6. Cliquez sur l'onglet Général et redéfinissez le Nom d'affichage du modèle sur LDAPoverSSL ou tout autre nom que vous préférez.

7. Cliquez sur l'onglet Sécurité et sélectionnez Contrôleurs de domaine dans la section Noms de groupes ou d'utilisateurs. Dans la section Autorisations pour les contrôleurs de domaine, vérifiez que les cases Autoriser pour la lecture, l'inscription et l'inscription automatique sont cochées.

8. Cliquez sur OK pour créer le modèle de certificat LDAPoverSSL (ou le nom que vous avez spécifié ci-dessus). Fermez la fenêtre de la Console des modèles de certificats.

9. Dans la fenêtre Autorité de certificats, cliquez avec le bouton droit sur Modèles de certificats, puis sélectionnez Nouveau > Modèle de certificat à émettre.

10. Dans la fenêtre Activer les modèles de certificats, choisissez LDAPoverSSL (ou le nom que vous avez spécifié ci-dessus), puis cliquez sur OK.

Étape 4 : Ajouter des règles de groupe de sécurité

Dans la dernière étape, vous devez ouvrir la console Amazon EC2 et ajouter des règles de groupe de sécurité. Ces règles permettent à vos contrôleurs de domaine de se connecter à votre autorité de certification d'entreprise pour demander un certificat. Pour ce faire, vous devez ajouter des règles entrantes afin que votre autorité de certification d'entreprise puisse accepter le trafic entrant à partir de vos contrôleurs de domaine. Vous devez ensuite ajouter des règles de trafic sortant pour autoriser le trafic entre vos contrôleurs de domaine et l'autorité de certification d'entreprise.

Une fois les deux règles configurées, vos contrôleurs de domaine demandent automatiquement un certificat à votre autorité de certification d'entreprise et activent LDAPS pour votre annuaire. Le service LDAP sur vos contrôleurs de domaine est maintenant prêt à accepter les connexions LDAPS.

Pour configurer des règles de groupe de sécurité

1. Accédez à votre console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2 et connectez-vous avec vos informations d'identification d'administrateur.

2. Dans le volet de gauche, sélectionnez Security Groups sous l'onglet Network & Security.

3. Dans le volet principal, choisissez le groupe AWS de sécurité pour votre autorité de certification.

4. Sélectionnez l'onglet Inbound (Entrant), puis Edit (Modifier).

5. Dans la boîte de dialogue Edit inbound rules, exécutez l'une des actions suivantes :

   • Choisissez Add Rule (Ajouter une règle).

   • Choisissez l'option All traffic pour le champ Type et l'option Custom pour le champ Source.

   • Entrez le groupe de AWS sécurité de votre répertoire (par exemple, sg-123456789) dans la case à côté de Source.

   • Choisissez Enregistrer.

6. Choisissez maintenant le groupe de AWS sécurité de votre annuaire Microsoft AD AWS géré. Sélectionnez l'onglet Outbound, puis Edit.

7. Dans la boîte de dialogue Edit outbound rules, exécutez l'une des actions suivantes :

   • Choisissez Add Rule (Ajouter une règle).

   • Choisissez l'option All traffic pour le champ Type et l'option Custom pour le champ Destination.

   • Tapez le groupe de AWS sécurité de votre autorité de certification dans le champ Destination.

   • Choisissez Enregistrer.

Vous pouvez tester la connexion LDAPS au répertoire Microsoft AD AWS géré à l'aide de l'outil LDP. L'outil LDP est fourni avec les outils d'administration Active Directory. Pour plus d’informations, consultez Installation des outils d'administration Active Directory pour Microsoft AD AWS géré.

Note

Avant de tester la connexion LDAPS, vous devez attendre jusqu'à 30 minutes pour que l'autorité de certification secondaire transmette un certificat à vos contrôleurs de domaine.

Pour plus de détails sur le protocole LDAPS côté serveur et pour voir un exemple de cas d'utilisation expliquant comment le configurer, consultez la section Comment activer le protocole LDAPS côté serveur pour votre annuaire Microsoft AD AWS géré sur le blog de sécurité. AWS