Abilita LDAPS lato server utilizzando Managed Microsoft AD AWS - AWS Directory Service
Abilita LDAPS lato server

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Abilita LDAPS lato server utilizzando Managed Microsoft AD AWS

Il supporto Lightweight Directory Access Protocol Secure Sockets Layer (SSL) /Transport Layer Security (TLS) (LDAPS) sul lato server crittografa le comunicazioni LDAP tra le applicazioni commerciali o basate su LDAP sviluppate internamente e la directory Managed Microsoft AD. AWS Ciò consente di migliorare la sicurezza in tutto il filo e soddisfare i requisiti di conformità utilizzando il protocollo crittografico SSL (Secure Sockets Layer).

Abilita LDAPS lato server

Per istruzioni dettagliate su come impostare e configurare LDAPS lato server e il server dell'autorità di certificazione (CA), vedi Come abilitare LDAPS lato server per la directory AWS gestita di Microsoft AD sul blog sulla sicurezza. AWS

È necessario eseguire gran parte della configurazione dall'istanza Amazon EC2 utilizzata per gestire i controller di dominio di Microsoft AD gestito da AWS . I seguenti passaggi ti guidano nell'attivazione di LDAPS per il tuo dominio nel cloud. AWS

Se desideri utilizzare l'automazione per configurare la tua infrastruttura PKI, puoi utilizzare Microsoft Public Key Infrastructure on AWS QuickStart Guide. In particolare, ti consigliamo di seguire le istruzioni contenute nella guida per caricare il modello per Implementa Microsoft PKI in un VPC esistente su AWS. Una volta caricato il modello, assicurati di scegliere AWSManaged quando accedi all'opzione Tipo di Active Directory Domain Services. Se hai usato la QuickStart guida, puoi passare direttamente aFase 3: creazione di un modello di certificato.

Fase 1: delega per l'abilitazione di LDAPS

Per abilitare LDAPS lato server, è necessario essere un membro del gruppo Admins o AWS Delegated Enterprise Certificate Authority Administrators nella directory Managed Microsoft AD. AWS In alternativa, è possibile essere l'utente amministrativo predefinito (account amministratore). Se si preferisce, è possibile avere un utente diverso dall'impostazione dell'account Admin LDAPS. In tal caso, aggiungi quell'utente al gruppo Admins o AWS Delegated Enterprise Certificate Authority Administrators nella directory Managed AWS Microsoft AD.

Fase 2: configurazione dell'autorità di certificazione

Prima di abilitare LDAPS lato server, è necessario creare un certificato. Questo certificato deve essere emesso da un server Microsoft Enterprise CA che fa parte del tuo dominio Microsoft AD AWS gestito. Una volta creato, il certificato deve essere installato su ciascuno dei controller di dominio appartenenti a quel dominio. Questo certificato consente al servizio LDAP sui controller di dominio di restare in attesa di connessioni SSL provenienti da client LDAP e accettarle automaticamente.

Nota

Il protocollo LDAPS lato server con Managed AWS Microsoft AD non supporta i certificati emessi da una CA autonoma. Inoltre, non supporta i certificati emessi da un'autorità di certificazione di terze parti.

A seconda delle esigenze aziendali, puoi disporre delle seguenti opzioni di configurazione o connessione a una CA nel dominio:

  • Crea una CA Microsoft Enterprise subordinata — (Consigliata) Con questa opzione, puoi distribuire un server Microsoft Enterprise CA subordinato nel AWS cloud. Il server può utilizzare Amazon EC2 in modo che funzioni con la CA Microsoft root esistente. Per ulteriori informazioni su come configurare una CA aziendale Microsoft subordinata, vedere Passaggio 4: Aggiungere una CA Microsoft Enterprise alla directory AWS Microsoft AD in Come abilitare LDAPS lato server per la directory AWS Microsoft AD gestita.

  • Crea una CA aziendale Microsoft root: con questa opzione, puoi creare una CA Microsoft enterprise root nel AWS cloud utilizzando Amazon EC2 e aggiungerla al tuo dominio AWS Microsoft AD gestito. Questa CA di root può emettere il certificato per i controller di dominio. Per ulteriori informazioni sulla configurazione di una nuova CA principale, vedere Passaggio 3: Installazione e configurazione di una CA offline in Come abilitare LDAPS lato server per la directory gestita di AWS Microsoft AD.

Per ulteriori informazioni su come collegare l'Istanza EC2 al dominio, consulta Unisci un'istanza Amazon EC2 al tuo Managed AWS Microsoft AD Active Directory.

Fase 3: creazione di un modello di certificato

Dopo aver configurato la CA aziendale, è possibile configurare il modello di certificato di autenticazione Kerberos.

Creazione di un modello di certificato

  1. Avvia Server Manager di Microsoft Windows. Seleziona Strumenti > Autorità di certificazione.

  2. Nella finestra Autorità di certificazione, espandi l'albero Autorità di certificazione nel riquadro a sinistra. Fai clic con il pulsante destro del mouse su Modelli di certificazione, quindi scegli Gestisci.

  3. Nella finestra Console dei modelli di certificazione, fai clic con il pulsante destro del mouse su Autenticazione Kerberos, quindi scegli Duplica dominio.

  4. Verrà visualizzata la finestra pop-up Proprietà del nuovo modello.

  5. Nella finestra Proprietà del nuovo modello, vai alla scheda Compatibilità, quindi procedi come segue:

    1. Cambia l'Autorità di certificazione impostando il sistema operativo corrispondente alla tua CA.

    2. Se viene visualizzata la finestra pop-up Modifiche risultanti, seleziona OK.

    3. Cambia il destinatario della certificazione in Windows 10/Windows Server 2016.

      Nota

      AWS Managed Microsoft AD è basato su Windows Server 2019.

    4. Se viene visualizzata la finestra pop-up Modifiche risultanti, seleziona OK.

  6. Fai clic sulla scheda Generale e modifica Nome visualizzato del modello in LDAPOverSSL o in qualsiasi altro nome che preferisci.

  7. Fai clic sulla scheda Sicurezza e scegli Controller di dominio nella sezione Nomi gruppi o utenti. Nella sezione Autorizzazioni per i controller di dominio, verifica che le caselle di controllo Consenti per Lettura, Registrazione e Registrazione automatica siano selezionate.

  8. Scegli OK per creare il modello di certificato LDAPOverSSL (o il nome specificato sopra). Chiudi la finestra Console dei modelli di certificato.

  9. Nella finestra Autorità di certificazione, fai clic con il pulsante destro del mouse su Modelli di certificazione e scegli Nuovo > Modello di certificazione da emettere.

  10. Nella finestra Abilita modelli di certificato, scegli LDAPOverSSL (o il nome specificato sopra), quindi scegli OK.

Fase 4: aggiungere regole per i gruppi di sicurezza

Nella fase finale, è necessario aprire la console Amazon EC2 e aggiungere regole del gruppo di sicurezza. Queste regole consentono ai controller di dominio di connettersi alla CA aziendale per richiedere un certificato. A tale scopo, aggiungi le regole in entrata in modo che la CA aziendale possa accettare il traffico in entrata dai controller di dominio. Aggiungi quindi regole in uscita per consentire il traffico proveniente dai controller di dominio verso la CA aziendale.

Dopo aver configurato entrambe le regole, i controller di dominio richiederanno automaticamente un certificato dalla CA aziendale e abiliteranno LDAPS per la directory. Il servizio LDAP sui controller di dominio è ora pronto per accettare le connessioni LDAPS.

Configurazione delle regole per i gruppi di sicurezza

  1. Passa alla console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2 e registrati con le credenziali da amministratore.

  2. Nel riquadro a sinistra, scegli Security Groups (Gruppi di sicurezza) in Network & Security (Rete e sicurezza).

  3. Nel riquadro principale, scegli il gruppo AWS di sicurezza per la tua CA.

  4. Seleziona la scheda Inbound (In entrata), quindi seleziona Edit (Modifica).

  5. Nella finestra di dialogo Edit inbound rules (Modifica regole in entrata) esegui queste operazioni:

    • Selezionare Add Rule (Aggiungi regola).

    • Scegli All traffic (Tutto il traffico) in Type (Tipo) e Custom (Personalizzato) in Source (Origine).

    • Inserisci il gruppo di AWS sicurezza della directory (ad esempio, sg-123456789) nella casella accanto a Source.

    • Selezionare Salva.

  6. Ora scegli il gruppo di AWS sicurezza della tua directory AWS Managed Microsoft AD. Seleziona la scheda Outbound (In uscita), quindi seleziona Edit (Modifica).

  7. Nella finestra di dialogo Edit outbound rules (Modifica regole in uscita) esegui queste operazioni:

    • Selezionare Add Rule (Aggiungi regola).

    • Scegli All traffic (Tutto il traffico) in Type (Tipo) e Custom (Personalizzato) in Destination (Destinazione).

    • Digita il gruppo di AWS sicurezza della tua CA nella casella accanto a Destinazione.

    • Selezionare Salva.

È possibile testare la connessione LDAPS alla directory AWS Managed Microsoft AD utilizzando lo strumento LDP. Lo strumento LDP viene fornito insieme agli strumenti di amministrazione di Active Directory. Per ulteriori informazioni, consulta Installare gli strumenti di amministrazione di Active Directory per AWS Managed Microsoft AD.

Nota

Prima di verificare la connessione LDAPS, è necessario attendere fino a 30 minuti affinché la CA subordinata emetta un certificato ai controller di dominio.

Per ulteriori dettagli sul protocollo LDAPS lato server e per vedere un esempio di utilizzo su come configurarlo, vedi Come abilitare il protocollo LDAPS lato server per la directory AWS gestita di Microsoft AD nel blog sulla sicurezza. AWS