Activation du protocole LDAPS côté serveur à l'aide de Managed Microsoft AD AWS

La prise en charge du protocole SSL (Lightweight Directory Access Protocol) /Transport Layer Security (TLS) (LDAPS) côté serveur chiffre les communications LDAP entre vos applications commerciales ou locales compatibles LDAP et votre annuaire Microsoft AD géré. AWS Cela permet d'améliorer la sécurité de votre réseau et de répondre aux critères de conformité à l'aide du protocole de chiffrement SSL (Secure Sockets Layer).

Activer LDAPS côté serveur

Pour obtenir des instructions détaillées sur la façon de configurer et de configurer le protocole LDAPS côté serveur et votre serveur d'autorité de certification (CA), consultez la section Comment activer le protocole LDAPS côté serveur pour votre annuaire Microsoft AD AWS géré sur le blog de sécurité. AWS

Vous devez effectuer la majeure partie de la configuration à partir de l' EC2 instance Amazon que vous utilisez pour gérer vos contrôleurs de domaine Microsoft AD AWS gérés. Les étapes suivantes vous indiquent comment activer LDAPS pour votre domaine dans le AWS cloud.

Si vous souhaitez utiliser l'automatisation pour configurer votre infrastructure PKI, vous pouvez utiliser l'infrastructure à clé publique Microsoft sur AWS QuickStart Guide. Plus précisément, vous devez suivre les instructions du guide pour charger le modèle de déploiement de Microsoft PKI dans un VPC existant sur AWS. Une fois que vous avez chargé le modèle, assurez-vous de choisir AWSManaged quand vous accédez à l'option Type de services de domaine Active Directory. Si vous avez utilisé le QuickStart guide, vous pouvez accéder directement àÉtape 3 : créer un modèle de certificat.

Étape 1 : déléguer les rôles autorisés à activer LDAPS

Pour activer le protocole LDAPS côté serveur, vous devez être membre du groupe Admins ou AWS Delegated Enterprise Certificate Authority Administrators de votre annuaire AWS Microsoft AD géré. Vous pouvez également être l'utilisateur administratif par défaut (compte Admin). Si vous préférez, vous pouvez faire en sorte qu'un autre utilisateur que le compte Admin configure LDAPS. Dans ce cas, ajoutez cet utilisateur au groupe Admins ou AWS Delegated Enterprise Certificate Authority Administrators dans votre répertoire AWS Managed Microsoft AD.

Étape 2 : configurer votre autorité de certification

Avant de pouvoir activer LDAPS côté serveur, vous devez créer un certificat. Ce certificat doit être émis par un serveur Microsoft Enterprise CA joint à votre domaine Microsoft AD AWS géré. Une fois créé, le certificat doit être installé sur chacun des contrôleurs de domaine qui se trouvent dans ce domaine. Ce certificat permet au service LDAP se trouvant sur les contrôleurs de domaine d'écouter et d'accepter automatiquement les connexions SSL provenant de clients LDAP.

Note

Le protocole LDAPS côté serveur avec AWS Microsoft AD géré ne prend pas en charge les certificats émis par une autorité de certification autonome. Il ne prend pas non plus en charge les certificats émis par une autorité de certification tierce.

Selon vos besoins spécifiques, vous disposez de différentes options pour configurer une autorité de certification ou pour vous connecter à une autorité de certification dans votre domaine :

• Créer une autorité de certification Microsoft Enterprise subordonnée — (recommandé) Cette option vous permet de déployer un serveur Microsoft Enterprise CA subordonnée dans le AWS cloud. Le serveur peut utiliser Amazon EC2 afin de fonctionner avec votre autorité de certification Microsoft racine existante. Pour plus d'informations sur la configuration d'une autorité de certification Microsoft Enterprise subordonnée, consultez Étape 4 : ajouter une autorité de certification Microsoft Enterprise à votre répertoire AWS Microsoft AD dans Comment activer le protocole LDAPS côté serveur pour votre répertoire AWS Microsoft AD géré.

• Créer une autorité de certification Microsoft d'entreprise racine : avec cette option, vous pouvez créer une autorité de certification Microsoft Enterprise racine dans le AWS cloud à l'aide d'Amazon EC2 et la joindre à votre domaine Microsoft AD AWS géré. Cette autorité de certification racine peut émettre le certificat sur vos contrôleurs de domaine. Pour plus d'informations sur la configuration d'une nouvelle autorité de certification racine, voir Étape 3 : Installation et configuration d'une autorité de certification hors ligne dans Comment activer le protocole LDAPS côté serveur pour votre annuaire AWS Microsoft AD géré.

Pour plus d'informations sur la façon de joindre votre EC2 instance au domaine, consultezComment associer une EC2 instance Amazon à votre Microsoft AD AWS géré.

Étape 3 : créer un modèle de certificat

Une fois votre autorité de certification d'entreprise configurée, vous pouvez configurer le modèle de certificat d'authentification Kerberos.

Pour créer un modèle de certificat

1. Lancez Microsoft Windows Server Manager. Sélectionnez Outils > Autorité de certification.

2. Dans la fenêtre Autorité de certification, développez l'arborescence Autorité de certification dans le volet de gauche. Cliquez avec le bouton droit sur Modèles de certificats, puis sélectionnezGérer.

3. Dans la fenêtre Console de modèles de certificats, cliquez avec le bouton droit sur Authentification Kerberos, puis sélectionnez Dupliquer le modèle.

4. La fenêtre Propriétés du nouveau modèle s'ouvre.

5. Dans la fenêtre Propriétés du nouveau modèle, accédez à l'onglet Compatibilité, puis procédez comme suit :

   1. Remplacez l'Autorité de certification par le système d'exploitation correspondant à votre autorité de certification.

   2. Si une fenêtre Modifications résultantes s'affiche, sélectionnez OK.

   3. Changez le destinataire de la certification en Windows 10/Windows Server 2016.

      Note

      AWS Managed Microsoft AD est alimenté par Windows Server 2019.

   4. Si la fenêtre Modifications résultantes s'affiche, sélectionnez OK.

6. Cliquez sur l'onglet Général et remplacez le nom d'affichage du modèle LDAPOver par SSL ou par tout autre nom que vous préférez.

7. Cliquez sur l'onglet Sécurité et sélectionnez Contrôleurs de domaine dans la section Noms de groupes ou d'utilisateurs. Dans la section Autorisations pour les contrôleurs de domaine, vérifiez que les cases Autoriser pour la lecture, l'inscription et l'inscription automatique sont cochées.

8. Cliquez sur OK pour créer le modèle de certificat LDAPOverSSL (ou le nom que vous avez spécifié ci-dessus). Fermez la fenêtre de la Console des modèles de certificats.

9. Dans la fenêtre Autorité de certificats, cliquez avec le bouton droit sur Modèles de certificats, puis sélectionnez Nouveau > Modèle de certificat à émettre.

10. Dans la fenêtre Activer les modèles de certificats, choisissez LDAPOverSSL (ou le nom que vous avez spécifié ci-dessus), puis cliquez sur OK.

Étape 4 : Ajouter des règles de groupe de sécurité

Dans la dernière étape, vous devez ouvrir la EC2 console Amazon et ajouter des règles de groupe de sécurité. Ces règles permettent à vos contrôleurs de domaine de se connecter à votre autorité de certification d'entreprise pour demander un certificat. Pour ce faire, vous devez ajouter des règles entrantes afin que votre autorité de certification d'entreprise puisse accepter le trafic entrant à partir de vos contrôleurs de domaine. Vous devez ensuite ajouter des règles de trafic sortant pour autoriser le trafic entre vos contrôleurs de domaine et l'autorité de certification d'entreprise.

Une fois les deux règles configurées, vos contrôleurs de domaine demandent automatiquement un certificat à votre autorité de certification d'entreprise et activent LDAPS pour votre annuaire. Le service LDAP sur vos contrôleurs de domaine est maintenant prêt à accepter les connexions LDAPS.

Pour configurer des règles de groupe de sécurité

1. Accédez à votre EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2 et connectez-vous à l'aide des informations d'identification d'administrateur.

2. Dans le volet de gauche, sélectionnez Security Groups sous l'onglet Network & Security.

3. Dans le volet principal, choisissez le groupe AWS de sécurité pour votre autorité de certification.

4. Sélectionnez l'onglet Inbound (Entrant), puis Edit (Modifier).

5. Dans la boîte de dialogue Edit inbound rules, exécutez l'une des actions suivantes :

   • Choisissez Add Rule (Ajouter une règle).

   • Choisissez l'option All traffic pour le champ Type et l'option Custom pour le champ Source.

   • Entrez le groupe de AWS sécurité de votre répertoire (par exemple, sg-123456789) dans la case à côté de Source.

   • Choisissez Enregistrer.

6. Choisissez maintenant le groupe de AWS sécurité de votre annuaire Microsoft AD AWS géré. Sélectionnez l'onglet Outbound, puis Edit.

7. Dans la boîte de dialogue Edit outbound rules, exécutez l'une des actions suivantes :

   • Choisissez Add Rule (Ajouter une règle).

   • Choisissez l'option All traffic pour le champ Type et l'option Custom pour le champ Destination.

   • Tapez le groupe de AWS sécurité de votre autorité de certification dans le champ Destination.

   • Choisissez Enregistrer.

Vous pouvez tester la connexion LDAPS au répertoire Microsoft AD AWS géré à l'aide de l'outil LDP. L'outil LDP est fourni avec les outils d'administration Active Directory. Pour de plus amples informations, veuillez consulter Installation des outils d'administration Active Directory pour Microsoft AD AWS géré.

Note

Avant de tester la connexion LDAPS, vous devez attendre jusqu'à 30 minutes pour que l'autorité de certification secondaire transmette un certificat à vos contrôleurs de domaine.

Pour plus de détails sur le protocole LDAPS côté serveur et pour voir un exemple de cas d'utilisation expliquant comment le configurer, consultez la section Comment activer le protocole LDAPS côté serveur pour votre annuaire Microsoft AD AWS géré sur le blog de sécurité. AWS