Abilitazione del protocollo LDAPS lato server utilizzando Managed Microsoft AD AWS - AWS Directory Service
Abilita LDAPS lato server utilizzando AWS Private Certificate AuthorityAbilitare il protocollo LDAPS lato server utilizzando CA Microsoft

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Abilitazione del protocollo LDAPS lato server utilizzando Managed Microsoft AD AWS

Il Lightweight Directory Access Protocol Secure Sockets Layer (SSL)/Transport Layer Security (TLS) (LDAPS) supporto lato server crittografa LDAP le comunicazioni tra le applicazioni commerciali o sviluppate internamente e la directory LDAP Managed Microsoft AD. AWS Questo aiuta a migliorare la sicurezza su tutta la rete e a soddisfare i requisiti di conformità utilizzando il protocollo crittografico. Secure Sockets Layer (SSL)

Abilita LDAPS lato server utilizzando AWS Private Certificate Authority

Per istruzioni dettagliate su come impostare e configurare il protocollo LDAPS lato server e l'utilizzo AWS Private CA del server dell'autorità di certificazione (CA), consulta. Configurazione di AWS Private CA Connector for AD per AWS Managed Microsoft AD

Abilitare il protocollo LDAPS lato server utilizzando CA Microsoft

Per istruzioni dettagliate su come impostare e configurare LDAPS lato server e il server dell'autorità di certificazione (CA), vedi Come abilitare LDAPS lato server per la directory AWS gestita di Microsoft AD sul blog sulla sicurezza. AWS

Devi eseguire la maggior parte della configurazione dall' EC2 istanza Amazon che usi per gestire i controller di dominio Microsoft AD AWS gestiti. I seguenti passaggi ti guidano nell'attivazione di LDAPS per il tuo dominio in. Cloud AWS

Se desideri utilizzare l'automazione per configurare la tua PKI infrastruttura, puoi utilizzare MicrosoftPublic Key Infrastructure on AWS QuickStart Guide. In particolare, ti consigliamo di seguire le istruzioni nella guida per caricare il modello per Deploy MicrosoftPKI in un account esistente VPC. AWS Una volta caricato il modello, assicurati di scegliere AWSManaged quando accedi all'opzione Tipo di Active Directory Domain Services. Se hai usato la QuickStart guida, puoi passare direttamente aFase 3: creazione di un modello di certificato.

Fase 1: delega per l'abilitazione di LDAPS

Per abilitare LDAPS lato server, è necessario essere un membro del gruppo Admins o AWS Delegated Enterprise Certificate Authority Administrators nella directory Managed Microsoft AD. AWS In alternativa, è possibile essere l'utente amministrativo predefinito (account amministratore). Se si preferisce, è possibile avere un utente diverso dall'impostazione dell'account Admin LDAPS. In tal caso, aggiungi quell'utente al gruppo Admins o AWS Delegated Enterprise Certificate Authority Administrators nella directory Managed AWS Microsoft AD.

Fase 2: configurazione dell'autorità di certificazione

Prima di abilitare LDAPS lato server, è necessario creare un certificato. Questo certificato deve essere emesso da un Microsoft Enterprise CA server che fa parte del tuo dominio Microsoft AD AWS gestito. Una volta creato, il certificato deve essere installato su ciascuno dei controller di dominio appartenenti a quel dominio. Questo certificato consente al LDAP servizio sui controller di dominio di ascoltare e accettare automaticamente SSL le connessioni dai LDAP client.

Nota

Il protocollo LDAPS lato server con Managed AWS Microsoft AD non supporta i certificati emessi da una CA autonoma. Inoltre, non supporta i certificati emessi da un'autorità di certificazione di terze parti.

A seconda delle esigenze aziendali, puoi disporre delle seguenti opzioni di configurazione o connessione a una CA nel dominio:

  • Crea un server subordinato Microsoft Enterprise CA: (consigliato) Con questa opzione, puoi implementare un server subordinato nel cloud. Microsoft Enterprise CA AWS Il server può utilizzare Amazon EC2 in modo che funzioni con la tua Microsoft CA principale esistente. Per ulteriori informazioni su come configurare un subordinato MicrosoftEnterprise CA, vedere Passaggio 4: Aggiungere un file alla AWS Microsoft AD directory in Come Microsoft Enterprise CA abilitare il protocollo LDAPS lato server per la directory gestita di AWS Microsoft AD.

  • Crea una radice Microsoft Enterprise CA: con questa opzione, puoi creare una radice Microsoft Enterprise CA nel AWS cloud utilizzando Amazon EC2 e aggiungerla al tuo dominio Microsoft AD AWS gestito. Questa CA di root può emettere il certificato per i controller di dominio. Per ulteriori informazioni sulla configurazione di una nuova CA principale, vedere Passaggio 3: Installazione e configurazione di una CA offline in Come abilitare LDAPS lato server per la directory gestita di AWS Microsoft AD.

Per ulteriori informazioni su come aggiungere l' EC2 istanza al dominio, consulta. Modi per aggiungere un' EC2 istanza Amazon al tuo AWS Managed Microsoft AD

Fase 3: creazione di un modello di certificato

Dopo aver Enterprise CA configurato il tuo, puoi configurare il modello di certificato di Kerberos autenticazione.

Creazione di un modello di certificato

  1. Avvia Server Manager di Microsoft Windows. Seleziona Strumenti > Autorità di certificazione.

  2. Nella finestra Autorità di certificazione, espandi l'albero Autorità di certificazione nel riquadro a sinistra. Fai clic con il pulsante destro del mouse su Modelli di certificazione, quindi scegli Gestisci.

  3. Nella finestra Console dei modelli di certificazione, fai clic con il pulsante destro del mouse su Autenticazione Kerberos, quindi scegli Duplica dominio.

  4. Verrà visualizzata la finestra pop-up Proprietà del nuovo modello.

  5. Nella finestra Proprietà del nuovo modello, vai alla scheda Compatibilità, quindi procedi come segue:

    1. Cambia l'Autorità di certificazione con OS quella corrispondente alla tua CA.

    2. Se viene visualizzata la finestra pop-up Modifiche risultanti, seleziona OK.

    3. Cambia il destinatario della certificazione in Windows 10/Windows Server 2016.

      Nota

      AWS Managed Microsoft AD è fornito daWindows Server 2019.

    4. Se viene visualizzata la finestra pop-up Modifiche risultanti, seleziona OK.

  6. Fai clic sulla scheda Generale e modifica il nome visualizzato del modello in LDAPOverSSL o in qualsiasi altro nome che preferisci.

  7. Fai clic sulla scheda Sicurezza e scegli Controller di dominio nella sezione Nomi gruppi o utenti. Nella sezione Autorizzazioni per i controller di dominio, verifica che le caselle di controllo Consenti per Lettura, Registrazione e Registrazione automatica siano selezionate.

  8. Scegli OK per creare il modello di certificato LDAPOverSSL (o il nome specificato sopra). Chiudi la finestra Console dei modelli di certificato.

  9. Nella finestra Autorità di certificazione, fai clic con il pulsante destro del mouse su Modelli di certificazione e scegli Nuovo > Modello di certificazione da emettere.

  10. Nella finestra Abilita modelli di certificato, scegli LDAPOverSSL (o il nome specificato sopra), quindi scegli OK.

Fase 4: aggiungere regole per i gruppi di sicurezza

Nel passaggio finale, devi aprire la EC2 console Amazon e aggiungere le regole del gruppo di sicurezza. Queste regole consentono ai controller di dominio di connettersi al tuo Enterprise CA per richiedere un certificato. A tale scopo, aggiungi regole in entrata in modo da Enterprise CA poter accettare il traffico in entrata dai controller di dominio. Quindi aggiungi regole in uscita per consentire il traffico dai controller di dominio a. Enterprise CA

Una volta configurate entrambe le regole, i controller di dominio richiedono Enterprise CA automaticamente un certificato e abilitano LDAPS per la directory. Il LDAP servizio sui controller di dominio è ora pronto per accettare connessioni LDAPS.

Configurazione delle regole per i gruppi di sicurezza

  1. Accedi alla tua EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2 e accedi con le credenziali di amministratore.

  2. Nel riquadro a sinistra, scegli Security Groups (Gruppi di sicurezza) in Network & Security (Rete e sicurezza).

  3. Nel riquadro principale, scegli il gruppo di AWS sicurezza per la tua CA.

  4. Seleziona la scheda Inbound (In entrata), quindi seleziona Edit (Modifica).

  5. Nella finestra di dialogo Edit inbound rules (Modifica regole in entrata) esegui queste operazioni:

    • Selezionare Add Rule (Aggiungi regola).

    • Scegli All traffic (Tutto il traffico) in Type (Tipo) e Custom (Personalizzato) in Source (Origine).

    • Inserisci il gruppo AWS di sicurezza (ad esempio,sg-123456789) per la tua directory nella casella accanto a Source.

    • Scegli Save (Salva).

  6. Ora scegli il gruppo di AWS sicurezza della tua directory AWS Managed Microsoft AD. Seleziona la scheda Outbound (In uscita), quindi seleziona Edit (Modifica).

  7. Nella finestra di dialogo Edit outbound rules (Modifica regole in uscita) esegui queste operazioni:

    • Selezionare Add Rule (Aggiungi regola).

    • Scegli All traffic (Tutto il traffico) in Type (Tipo) e Custom (Personalizzato) in Destination (Destinazione).

    • Inserisci il gruppo AWS di sicurezza per la tua CA nella casella accanto a Destinazione.

    • Scegli Save (Salva).

È possibile testare la connessione LDAPS alla directory AWS Managed Microsoft AD utilizzando lo LDP strumento. Lo LDP strumento viene fornito con. Active Directory Administrative Tools Per ulteriori informazioni, consulta Installazione degli strumenti di amministrazione di Active Directory per AWS Managed Microsoft AD.

Nota

Prima di verificare la connessione LDAPS, è necessario attendere fino a 30 minuti affinché la CA subordinata emetta un certificato ai controller di dominio.

Per ulteriori dettagli sul protocollo LDAPS lato server e per vedere un esempio di utilizzo su come configurarlo, vedi Come abilitare il protocollo LDAPS lato server per la directory AWS gestita di Microsoft AD nel blog sulla sicurezza. AWS