使用 AWS 管理 Microsoft AD 啟用伺服器端 LDAPS - AWS Directory Service
啟用伺服器端 LDAPS

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 AWS 管理 Microsoft AD 啟用伺服器端 LDAPS

伺服器端輕量型目錄存取通訊協定安全通訊端層 (SSL)/傳輸層安全性 (TLS) (LDAPS) 支援加密您的商業或本土開發的 LDAP 感知應用程式與受管理的 Microsoft AD 目錄之間的 LDAP 通訊。 AWS 這有助於使用 Secure Sockets Layer (SSL) 加密通訊協定提升網路上的安全,並符合合規要求。

啟用伺服器端 LDAPS

如需如何設定及設定伺服器端 LDAPS 及憑證授權單位 (CA) 伺服器的詳細指示,請參閱 AWS 安全性部落格上如何為您的 AWS 受管理 Microsoft AD 目錄啟用伺服器端 LDAPS

您必須從用來管理 AWS Managed Microsoft AD 域控制站的 Amazon EC2 執行個體,進行大部分的設定。下列步驟會引導您完成在 AWS 雲端中為網域啟用 LDAPS。

如果您想要使用自動化來設定 PKI 基礎結構,您可以使用 Microsoft 公開金鑰基礎結構 AWS QuickStart 指南。具體而言,您可以遵循指南中的指示,載入 Deploy Microsoft PKI into an existing VPC on AWS 的範本。載入範本之後,針對 Active Directory Domain Services Type 選項,請務必選擇 AWSManaged。如果您使用指 QuickStart 南,則可以直接跳轉到步驟 3:建立憑證範本

步驟 1:委派可啟用 LDAPS 的人員

若要啟用伺服器端 LDAPS,您必須是 AWS 受管理 Microsoft AD 目錄中的系統管理員或 AWS 委派企業憑證授權單位系統管理員群組的成員。或者,您可以是預設管理使用者 (Admin 帳戶)。如果您想要的話,您可以讓 Admin 帳戶以外的使用者設定 LDAPS。在此情況下,請將該使用者新增至 AWS 受管理 Microsoft AD 目錄中的「系統管理員」或「 AWS 委派企業憑證授權單位系統管理員」

步驟 2:設定您的憑證授權機構

啟用伺服器端 LDAPS 之前,必須先建立憑證。此憑證必須由加入您 AWS 受管理的 Microsoft AD 網域的 Microsoft 企業 CA 伺服器簽發。建立後,您必須在該網域中的每個網域控制站上安裝此憑證。此憑證可讓網域控制站上的 LDAP 服務接聽並自動接受來自 LDAP 用戶端的 SSL 連線。

注意

伺服器端 LDAPS 與 AWS 受管理的 Microsoft AD 不支援由獨立 CA 所發行的憑證。它也不支援第三方認證機構發行的憑證。

根據您的業務需求,您有以下選擇可設定或連線到網域中的 CA:

  • 建立從屬 Microsoft 企業 CA — (建議使用) 使用此選項,您可以在雲端部署下屬的 Microsoft 企業 CA 伺服器。 AWS 伺服器可以使用 Amazon EC2,以便與您現有的根 Microsoft CA 使用。如需如何設定從屬 Microsoft 企業 CA 的詳細資訊,請參閱步驟 4:將 Microsoft 企業 CA 新增至您的 AWS Microsoft AD 目錄如何啟用 AWS 受管理的 Microsoft AD 目錄中的伺服器端 LDAPS

  • 建立根 Microsoft 企業 CA — 使用此選項,您可以使用 Amazon EC2 在 AWS 雲端建立根 Microsoft 企業 CA,並將其加入您的 AWS 受管 Microsoft AD 網域。此根 CA 可以對您的網域控制站發出憑證。如需設定新根 CA 的相關資訊,請參閱如何為您的 AWS 受管理 Microsoft AD 目錄啟用伺服器端 LDAPS 中的步驟 3:安裝及設定離線 CA

如需如何將您的 EC2 執行個體加入網域的詳細資訊,請參閱「將 Amazon EC2 執行個體加入您的 AWS 受管 Microsoft AD Active Directory」。

步驟 3:建立憑證範本

設定企業 CA 之後,您可以設定 Kerberos 身分驗證憑證範本。

建立憑證範本

  1. 啟動 Microsoft Windows Server Manager。選取工具 > 憑證授權機構

  2. 憑證授權機構視窗中,展開左窗格中的憑證授權機構樹狀目錄。在憑證範本上按一下滑鼠右鍵,然後選擇管理

  3. 憑證範本主控台視窗中,在 Kerberos 身分驗證上按一下滑鼠右鍵,然後選擇複製範本

  4. 新模板的屬性視窗將彈出。

  5. 新範本的屬性視窗中,前往相容性索引標籤,然後執行下列動作:

    1. 憑證授權機構變更為符合 CA 的作業系統。

    2. 如果彈出產生的變更視窗,請選取確定

    3. 更改認證收件人視窗 10 /視窗服務器 2016.

      注意

      AWS 託管 Microsoft AD 是由視窗服務器 2019 供電。

    4. 如果彈出產生的變更視窗,請選取確定

  6. 按一下一般索引標籤,然後將範本顯示名稱變更為 LDAPOverSSL 或您想要的任何其他名稱。

  7. 按一下安全性索引標籤,然後在群組或使用者名稱區段中選擇域控制站。在域控制站權限區段中,確認已核取讀取登錄自動註冊允許核取方塊。

  8. 選擇確定以建立 LDAPOverSSL (或您在上面指定的名稱) 憑證範本。關閉憑證範本主控台視窗。

  9. 憑證授權機構視窗中,在憑證範本上按一下滑鼠右鍵,然後選擇新增 > 要發出的憑證範本

  10. 啟用憑證範本視窗中,選擇 LDAPOverSSL (或您在上面指定的名稱),然後選擇確定

步驟 4:新增安全群組規則

在最後一個步驟中,您必須開啟 Amazon EC2 主控台並新增安全群組規則。這些規則允許您的網域控制站連線到企業 CA,以請求憑證。若要執行此作業,您可以新增輸入規則,讓企業 CA 可以接受來自網域控制站的連入流量。然後,您可以新增輸出規則,允許從網域控制站到企業 CA 的流量。

設定這兩項規則之後,您的網域控制站就會自動向企業 CA 請求憑證,並為您的目錄啟用 LDAPS。您網域控制站上的 LDAP 服務現在可以接受 LDAPS 連線。

設定安全群組規則

  1. 導覽至位於 https://console.aws.amazon.com/ec2 的 Amazon EC2 主控台,然後使用管理員憑證進行登入。

  2. 在左窗格的 Network & Security (網路與安全) 下,選擇 Security Groups (安全群組)。

  3. 在主窗格中,選擇 CA 的 AWS 安全性群組。

  4. 選擇 Inbound (入站) 標籤,然後選擇 Edit (編輯)。

  5. Edit inbound rules (編輯輸入規則) 對話方塊中,執行下列動作:

    • 選擇 Add Rule (新增規則)。

    • Type (類型) 選擇 All traffic (所有流量),並在 Source (來源) 選擇 Custom (自訂)。

    • 在 [來源] 旁邊的方塊中輸入目錄的 AWS 安全性群組 (例如,sg-123456789)。

    • 選擇儲存

  6. 現在選擇您 AWS 管理的 Microsoft AD 目錄的 AWS 安全性群組。選擇 Outbound (輸出) 標籤,然後選擇 Edit (編輯)。

  7. Edit outbound rules (編輯輸出規則) 對話方塊中,執行下列動作:

    • 選擇 Add Rule (新增規則)。

    • Type (類型) 選擇 All traffic (所有流量),並在 Destination (目標) 選擇 Custom (自訂)。

    • 在 [的地] 旁邊的方塊中輸入 CA 的 AWS 安全性群組。

    • 選擇儲存

您可以使用 LDP 工具測試與 AWS 管理 Microsoft AD 目錄的 LDAPS 連線。LDP 工具隨附於 Active Directory 管理工具。如需詳細資訊,請參閱 安裝適用於 AWS 受管理 Microsoft AD 的活動目錄管理工具

注意

測試 LDAPS 連線之前,您最多必須等候 30 分鐘,直到次級 CA 對您的域控制站發出憑證。

如需有關伺服器端 LDAPS 的其他詳細資訊,以及如何設定它的範例使用案例,請參閱 AWS 安全性部落格上的如何為您的 AWS 受管理 Microsoft AD 目錄啟用伺服器端 LDAPS