Habilitar o LDAPS do lado do servidor usando o Microsoft AD gerenciado AWS - AWS Directory Service
Habilitar o LDAPS no lado do servidor

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Habilitar o LDAPS do lado do servidor usando o Microsoft AD gerenciado AWS

O suporte do Lightweight Directory Access Protocol Secure Sockets Layer (SSL) /Transport Layer Security (TLS) (LDAPS) do lado do servidor criptografa as comunicações LDAP entre seus aplicativos comerciais ou domésticos compatíveis com LDAP e seu diretório gerenciado do Microsoft AD. AWS Isso ajuda a aumentar a segurança em toda a rede e atender aos requisitos de conformidade usando o protocolo criptográfico Secure Sockets Layer (SSL).

Habilitar o LDAPS no lado do servidor

Para obter instruções detalhadas sobre como instalar e configurar o LDAPS do lado do servidor e seu servidor de autoridade de certificação (CA), consulte Como habilitar o LDAPS do lado do servidor para seu diretório AWS gerenciado do Microsoft AD no blog de segurança. AWS

Você deve fazer a maior parte da configuração da instância do Amazon EC2 que você usa para gerenciar os controladores de domínio do AWS Managed Microsoft AD. As etapas a seguir orientam você a habilitar o LDAPS para seu domínio na AWS nuvem.

Se quiser usar a automação para configurar sua infraestrutura de PKI, você pode usar a Infraestrutura de Chave Pública da Microsoft no AWS QuickStart Guia. Especificamente, você deve seguir as instruções no guia para carregar o modelo para Implantar a PKI da Microsoft em uma VPC existente na AWS. Depois de carregar o modelo, certifique-se de escolher AWSManaged ao acessar a opção Tipo de serviços de domínio do Active Directory. Se você usou o QuickStart guia, você pode pular diretamente paraEtapa 3: Criar um modelo de certificado.

Etapa 1: delegar quem pode habilitar o LDAPS

Para habilitar o LDAPS do lado do servidor, você deve ser membro do grupo Administradores ou Administradores da Autoridade Certificadora Empresarial AWS Delegada em seu diretório gerenciado do Microsoft AD. AWS Como opção, você pode ser o usuário administrativo padrão (conta de administrador). Se preferir, você poderá ter um usuário diferente do LDAPS de configuração da conta de administrador. Nesse caso, adicione esse usuário ao grupo Administradores ou Administradores da Autoridade de Certificação Empresarial AWS Delegada em seu diretório gerenciado do AWS Microsoft AD.

Etapa 2: configurar a autoridade de certificação

Antes de habilitar o LDAPS no lado do servidor, você deve criar um certificado. Esse certificado deve ser emitido por um servidor CA corporativo da Microsoft que esteja associado ao seu domínio AWS gerenciado do Microsoft AD. Depois de criado, o certificado deve ser instalado em cada um dos controladores de domínio no domínio. Este certificado permite que o serviço LDAP em controladores de domínio escute e aceite automaticamente conexões SSL de clientes LDAP.

nota

O LDAPS do lado do servidor com AWS Microsoft AD gerenciado não oferece suporte a certificados emitidos por uma CA autônoma. Ele também não oferece suporte a certificados emitidos por uma autoridade de certificação de terceiros.

Dependendo de sua necessidade comercial, você tem as seguintes opções para configurar ou conectar uma CA a seu domínio:

  • Crie uma CA Microsoft Enterprise subordinada — (Recomendado) Com essa opção, você pode implantar um servidor Microsoft Enterprise CA subordinado na AWS nuvem. O servidor pode usar o Amazon EC2 para funcionar com sua CA raiz da Microsoft existente. Para obter mais informações sobre como configurar uma CA corporativa subordinada da Microsoft, consulte Etapa 4: Adicionar uma CA Microsoft Enterprise ao seu diretório do AWS Microsoft AD em Como habilitar o LDAPS do lado do servidor para seu diretório gerenciado AWS do Microsoft AD.

  • Crie uma CA corporativa raiz da Microsoft — Com essa opção, você pode criar uma CA corporativa raiz da Microsoft na AWS nuvem usando o Amazon EC2 e juntá-la ao seu domínio gerenciado AWS do Microsoft AD. Essa CA raiz pode emitir o certificado para seus controladores de domínio. Para obter mais informações sobre como configurar uma nova CA raiz, consulte Etapa 3: Instalar e configurar uma CA offline em Como habilitar o LDAPS do lado do servidor para seu diretório gerenciado do AWS Microsoft AD.

Para obter mais informações sobre como adicionar a instância do EC2 ao domínio, consulte Associe uma instância do Amazon EC2 ao seu AWS Microsoft AD gerenciado Active Directory.

Etapa 3: Criar um modelo de certificado

Após configurar a CA da empresa, é possível configurar o modelo do certificado de autenticação Kerberos.

Para criar um modelo de certificado

  1. Inicie o Microsoft Windows Server Manager. Selecione Ferramentas > Autoridade de certificação.

  2. Na janela Autoridade de certificação, expanda a árvore de Autoridade de certificação no painel esquerdo. Clique com o botão direito do mouse em Modelos de certificado e escolha Gerenciar.

  3. Na janela Console de modelos de certificado, clique com o botão direito em Autenticação Kerberos e escolha Duplicar modelo.

  4. A janela Propriedades do novo modelo será exibida.

  5. Na janela Propriedades do novo modelo, vá até a guia Compatibilidade e faça o seguinte:

    1. Altere a Autoridade de certificação para o sistema operacional que corresponde à sua CA.

    2. Se a janela Alterações resultantes for exibida, selecione OK.

    3. Altere o destinatário da certificação para Windows 10/Windows Server 2016.

      nota

      AWS O Microsoft AD gerenciado é desenvolvido com o Windows Server 2019.

    4. Se a janela Alterações resultantes for exibida, selecione OK.

  6. Clique na guia Geral e altere o Nome de exibição do modelo para LDAPOverSSL ou qualquer outro nome que você preferir.

  7. Clique na guia Segurança e escolha Controladores de domínio na seção Nomes de grupos ou usuários. Na seção Permissões para controladores de domínio, verifique se as caixas de seleção Permitir para Leitura, Inscrição e Inscrição automática estão marcadas.

  8. Escolha OK para criar o modelo de certificado LDAPOverSSL (ou o nome que você especificou acima). Feche a janela do Console de modelos de certificado.

  9. Na janela Autoridade de certificação, clique com o botão direito do mouse em Modelos de certificado e escolha Novo > Modelo de certificado para emitir.

  10. Na janela Habilitar modelos de certificado, escolha LDAPOverSSL (ou o nome que você especificou acima) e, em seguida, escolha OK.

Etapa 4: adicionar regras do grupo de segurança

Na etapa final, você deve abrir o console do Amazon EC2 e adicionar regras de grupo de segurança. Essas regras permitem que os controladores de domínio se conectem à CA corporativa para solicitar um certificado. Nesse caso, você adiciona regras de entrada de forma que a CA corporativa possa aceitar o tráfego de entrada dos controladores de domínio. Depois, você adiciona regras de saída para permitir o tráfego dos seus controladores de domínio para a CA corporativa.

Quando as duas regras estiverem configuradas, os controladores de domínio solicitarão um certificado da CA corporativa automaticamente e habilitarão o LDAPS para o diretório. O serviço LDAP em seus controladores de domínio agora está pronto para aceitar conexões LDAPS.

Para configurar regras do grupo de segurança

  1. Navegue até o console do Amazon EC2 em https://console.aws.amazon.com/ec2 e faça login com credenciais de administrador.

  2. No painel esquerdo, escolha Grupos de segurança em Rede e segurança.

  3. No painel principal, escolha o grupo AWS de segurança para sua CA.

  4. Escolha a guia Inbound e depois Edit.

  5. Na caixa de diálogo Edit inbound rules, faça o seguinte:

    • Escolha Add Rule.

    • Escolha All traffic para Type e Custom para Source.

    • Insira o grupo de AWS segurança do seu diretório (por exemplo, sg-123456789) na caixa ao lado de Fonte.

    • Escolha Salvar.

  6. Agora, escolha o grupo de AWS segurança do seu diretório AWS Managed Microsoft AD. Escolha a guia Outbound (Saída) e escolha Edit (Editar).

  7. Na caixa de diálogo Edit outbound rules, faça o seguinte:

    • Escolha Add Rule.

    • Escolha All traffic para Type e Custom para Destination.

    • Digite o grupo de AWS segurança da sua CA na caixa ao lado de Destino.

    • Escolha Salvar.

Você pode testar a conexão LDAPS com o diretório AWS gerenciado do Microsoft AD usando a ferramenta LDP. A ferramenta LDP vem com as Ferramentas Administrativas do Active Directory. Para ter mais informações, consulte Instale as ferramentas de administração do Active Directory para o Microsoft AD AWS gerenciado.

nota

Antes de testar a conexão LDAPS, é necessário esperar até 30 minutos para que a CA subordinada emita um certificado para seus controladores de domínio.

Para obter detalhes adicionais sobre o LDAPS do lado do servidor e ver um exemplo de caso de uso sobre como configurá-lo, consulte Como habilitar o LDAPS do lado do servidor para seu diretório AWS gerenciado do Microsoft AD no blog de segurança. AWS