Activation du protocole LDAPS côté serveur à l'aide de Managed Microsoft AD AWS

Le Lightweight Directory Access Protocol Secure Sockets Layer (SSL)/Transport Layer Security (TLS) (LDAPS) support côté serveur chiffre les LDAP communications entre vos applications commerciales ou locales et votre LDAP annuaire Microsoft AD géré AWS . Cela permet d'améliorer la sécurité sur le réseau et de répondre aux exigences de conformité à l'aide du protocole Secure Sockets Layer (SSL) cryptographique.

Activez LDAPS côté serveur à l'aide de AWS Private Certificate Authority

Pour obtenir des instructions détaillées sur la façon de configurer et de configurer le protocole LDAPS côté serveur et votre serveur d'autorité de certification (CA) à l'aide AWS Private CA de. Configurer le AWS Private CA connecteur pour AD pour Microsoft AD AWS géré

Activer le protocole LDAPS côté serveur à l'aide de CA Microsoft

Pour obtenir des instructions détaillées sur la façon de configurer et de configurer le protocole LDAPS côté serveur et votre serveur d'autorité de certification (CA), consultez la section Comment activer le protocole LDAPS côté serveur pour votre annuaire Microsoft AD AWS géré sur le blog de sécurité. AWS

Vous devez effectuer la majeure partie de la configuration à partir de l' EC2 instance Amazon que vous utilisez pour gérer vos contrôleurs de domaine Microsoft AD AWS gérés. Les étapes suivantes vous indiquent comment activer LDAPS pour votre domaine dans le AWS Cloud.

Si vous souhaitez utiliser l'automatisation pour configurer votre PKI infrastructure, vous pouvez utiliser l'infrastructure à clé Microsoft publique sur AWS QuickStart Guide. Plus précisément, vous devez suivre les instructions du guide pour charger le modèle de déploiement MicrosoftPKI dans un système existant VPCAWS. Une fois que vous avez chargé le modèle, assurez-vous de choisir AWSManaged quand vous accédez à l'option Type de services de domaine Active Directory. Si vous avez utilisé le QuickStart guide, vous pouvez accéder directement àÉtape 3 : créer un modèle de certificat.

Étape 1 : déléguer les rôles autorisés à activer LDAPS

Pour activer le protocole LDAPS côté serveur, vous devez être membre du groupe Admins ou AWS Delegated Enterprise Certificate Authority Administrators de votre annuaire AWS Microsoft AD géré. Vous pouvez également être l'utilisateur administratif par défaut (compte Admin). Si vous préférez, vous pouvez faire en sorte qu'un autre utilisateur que le compte Admin configure LDAPS. Dans ce cas, ajoutez cet utilisateur au groupe Admins ou AWS Delegated Enterprise Certificate Authority Administrators dans votre répertoire AWS Managed Microsoft AD.

Étape 2 : configurer votre autorité de certification

Avant de pouvoir activer LDAPS côté serveur, vous devez créer un certificat. Ce certificat doit être émis par un Microsoft Enterprise CA serveur joint à votre domaine Microsoft AD AWS géré. Une fois créé, le certificat doit être installé sur chacun des contrôleurs de domaine qui se trouvent dans ce domaine. Ce certificat permet au LDAP service des contrôleurs de domaine d'écouter et d'accepter automatiquement les SSL connexions des LDAP clients.

Note

Le protocole LDAPS côté serveur avec AWS Microsoft AD géré ne prend pas en charge les certificats émis par une autorité de certification autonome. Il ne prend pas non plus en charge les certificats émis par une autorité de certification tierce.

Selon vos besoins spécifiques, vous disposez de différentes options pour configurer une autorité de certification ou pour vous connecter à une autorité de certification dans votre domaine :

• Créer un serveur subordonné Microsoft Enterprise CA — (recommandé) Avec cette option, vous pouvez déployer un Microsoft Enterprise CA serveur subordonné dans le AWS cloud. Le serveur peut utiliser Amazon EC2 afin de fonctionner avec votre autorité de Microsoft certification racine existante. Pour plus d'informations sur la configuration d'un subordonné MicrosoftEnterprise CA, voir Étape 4 : Ajouter un Microsoft Enterprise CA à votre AWS Microsoft AD répertoire dans Comment activer le protocole LDAPS côté serveur pour votre annuaire AWS Microsoft AD géré.

• Créer une racine Microsoft Enterprise CA : avec cette option, vous pouvez créer une racine Microsoft Enterprise CA dans le AWS cloud à l'aide d'Amazon EC2 et la joindre à votre domaine Microsoft AD AWS géré. Cette autorité de certification racine peut émettre le certificat sur vos contrôleurs de domaine. Pour plus d'informations sur la configuration d'une nouvelle autorité de certification racine, voir Étape 3 : Installation et configuration d'une autorité de certification hors ligne dans Comment activer le protocole LDAPS côté serveur pour votre annuaire AWS Microsoft AD géré.

Pour plus d'informations sur la façon de joindre votre EC2 instance au domaine, consultezComment associer une EC2 instance Amazon à votre Microsoft AD AWS géré.

Étape 3 : créer un modèle de certificat

Une fois votre Enterprise CA configuration terminée, vous pouvez configurer le modèle de certificat Kerberos d'authentification.

Pour créer un modèle de certificat

1. Lancez Microsoft Windows Server Manager. Sélectionnez Outils > Autorité de certification.

2. Dans la fenêtre Autorité de certification, développez l'arborescence Autorité de certification dans le volet de gauche. Cliquez avec le bouton droit sur Modèles de certificats, puis sélectionnezGérer.

3. Dans la fenêtre Console de modèles de certificats, cliquez avec le bouton droit sur Authentification Kerberos, puis sélectionnez Dupliquer le modèle.

4. La fenêtre Propriétés du nouveau modèle s'ouvre.

5. Dans la fenêtre Propriétés du nouveau modèle, accédez à l'onglet Compatibilité, puis procédez comme suit :

   1. Remplacez l'autorité de certification par celle OS qui correspond à votre autorité de certification.

   2. Si une fenêtre Modifications résultantes s'affiche, sélectionnez OK.

   3. Changez le destinataire de la certification en Windows 10/Windows Server 2016.

      Note

      AWS Managed Microsoft AD est alimenté parWindows Server 2019.

   4. Si la fenêtre Modifications résultantes s'affiche, sélectionnez OK.

6. Cliquez sur l'onglet Général et remplacez le nom d'affichage du modèle LDAPOver par SSL ou par tout autre nom que vous préférez.

7. Cliquez sur l'onglet Sécurité et sélectionnez Contrôleurs de domaine dans la section Noms de groupes ou d'utilisateurs. Dans la section Autorisations pour les contrôleurs de domaine, vérifiez que les cases Autoriser pour la lecture, l'inscription et l'inscription automatique sont cochées.

8. Cliquez sur OK pour créer le modèle de certificat LDAPOverSSL (ou le nom que vous avez spécifié ci-dessus). Fermez la fenêtre de la Console des modèles de certificats.

9. Dans la fenêtre Autorité de certificats, cliquez avec le bouton droit sur Modèles de certificats, puis sélectionnez Nouveau > Modèle de certificat à émettre.

10. Dans la fenêtre Activer les modèles de certificats, choisissez LDAPOverSSL (ou le nom que vous avez spécifié ci-dessus), puis cliquez sur OK.

Étape 4 : Ajouter des règles de groupe de sécurité

Dans la dernière étape, vous devez ouvrir la EC2 console Amazon et ajouter des règles de groupe de sécurité. Ces règles permettent à vos contrôleurs de domaine de se connecter Enterprise CA à votre pour demander un certificat. Pour ce faire, vous ajoutez des règles entrantes afin de Enterprise CA pouvoir accepter le trafic entrant en provenance de vos contrôleurs de domaine. Vous ajoutez ensuite des règles de sortie pour autoriser le trafic de vos contrôleurs de domaine vers leEnterprise CA.

Une fois les deux règles configurées, vos contrôleurs de domaine vous demandent Enterprise CA automatiquement un certificat et activent LDAPS pour votre annuaire. Le LDAP service de vos contrôleurs de domaine est désormais prêt à accepter les connexions LDAPS.

Pour configurer des règles de groupe de sécurité

1. Accédez à votre EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2 et connectez-vous à l'aide des informations d'identification d'administrateur.

2. Dans le volet de gauche, sélectionnez Security Groups sous l'onglet Network & Security.

3. Dans le volet principal, choisissez le groupe AWS de sécurité pour votre autorité de certification.

4. Sélectionnez l'onglet Inbound (Entrant), puis Edit (Modifier).

5. Dans la boîte de dialogue Edit inbound rules, exécutez l'une des actions suivantes :

   • Choisissez Add Rule (Ajouter une règle).

   • Choisissez l'option All traffic pour le champ Type et l'option Custom pour le champ Source.

   • Entrez le groupe AWS de sécurité (par exemple,sg-123456789) pour votre répertoire dans la zone à côté de Source.

   • Choisissez Enregistrer.

6. Choisissez maintenant le groupe de AWS sécurité de votre annuaire Microsoft AD AWS géré. Sélectionnez l'onglet Outbound, puis Edit.

7. Dans la boîte de dialogue Edit outbound rules, exécutez l'une des actions suivantes :

   • Choisissez Add Rule (Ajouter une règle).

   • Choisissez l'option All traffic pour le champ Type et l'option Custom pour le champ Destination.

   • Entrez le groupe AWS de sécurité de votre autorité de certification dans la case à côté de Destination.

   • Choisissez Enregistrer.

Vous pouvez tester la connexion LDAPS au répertoire AWS Managed Microsoft AD à l'aide de l'LDPoutil. L'LDPoutil est livré avec leActive Directory Administrative Tools. Pour de plus amples informations, veuillez consulter Installation des outils d'administration Active Directory pour Microsoft AD AWS géré.

Note

Avant de tester la connexion LDAPS, vous devez attendre jusqu'à 30 minutes pour que l'autorité de certification secondaire transmette un certificat à vos contrôleurs de domaine.

Pour plus de détails sur le protocole LDAPS côté serveur et pour voir un exemple de cas d'utilisation expliquant comment le configurer, consultez la section Comment activer le protocole LDAPS côté serveur pour votre annuaire Microsoft AD AWS géré sur le blog de sécurité. AWS