LDAPS 使用 AWS Managed Microsoft AD 啟用伺服器端 - AWS Directory Service
啟用伺服器端 LDAPS

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

LDAPS 使用 AWS Managed Microsoft AD 啟用伺服器端

伺服器端輕量型目錄存取通訊協定安全通訊端層 (SSL)/傳輸層安全 (TLS) (LDAPS) LDAP支援加密商業或自有感知應用程式與 AWS Managed Microsoft AD 目錄之間的LDAP通訊。這有助於改善全線安全,並使用 Secure Sockets Layer (SSL) 密碼編譯通訊協定滿足合規要求。

啟用伺服器端 LDAPS

如需如何設定伺服器端LDAPS和憑證授權機構 (CA) 伺服器的詳細指示,請參閱 AWS 安全部落格上的如何啟用 AWS 受管 Microsoft AD 目錄LDAPS的伺服器端

您必須從用來管理 AWS Managed Microsoft AD 網域控制器的 Amazon EC2執行個體執行大部分設定。下列步驟會引導您在 AWS Cloud 中LDAPS為網域啟用 。

如果您想要使用自動化來設定PKI基礎設施,您可以使用AWS QuickStart 指南 上的 Microsoft 公有金鑰基礎設施。具體而言,您會想要遵循指南中的指示,將部署 Microsoft 的範本載入 PKI VPC上現有的 AWS。載入範本之後,針對 Active Directory Domain Services Type 選項,請務必選擇 AWSManaged。如果您使用 QuickStart 本指南,可以直接跳至 步驟 3:建立憑證範本

步驟 1:委派誰可以啟用 LDAPS

若要啟用伺服器端 LDAPS,您必須是 AWS Managed Microsoft AD 目錄中管理員或 AWS 委派企業憑證授權機構管理員群組的成員。或者,您可以是預設管理使用者 (Admin 帳戶)。如果您願意,可以擁有管理員帳戶設定 以外的使用者LDAPS。在這種情況下,將該使用者新增至 AWS Managed Microsoft AD AWS 目錄中的管理員或委派企業憑證授權單位管理員群組。

步驟 2:設定您的憑證授權機構

您必須先建立憑證LDAPS,才能啟用伺服器端 。此憑證必須由加入 AWS Managed Microsoft AD 網域的 Microsoft 企業 CA 伺服器發行。建立後,您必須在該網域中的每個網域控制站上安裝此憑證。此憑證可讓網域控制器上的 LDAP服務接聽和自動接受來自LDAP用戶端的SSL連線。

注意

LDAPS 具有 AWS Managed Microsoft AD 的伺服器端不支援由獨立 CA 發行的憑證。它也不支援第三方認證機構發行的憑證。

根據您的業務需求,您有以下選擇可設定或連線到網域中的 CA:

  • 建立下級 Microsoft Enterprise CA – (建議) 使用此選項,您可以在 AWS Cloud 中部署下級 Microsoft Enterprise CA 伺服器。伺服器可以使用 Amazon,EC2以便其與您現有的根 Microsoft CA 搭配使用。如需如何設定下級 Microsoft 企業 CA 的詳細資訊,請參閱步驟 4:在如何啟用受管 Microsoft AD 目錄的伺服器端中,將 Microsoft 企業 CA 新增至 AWS 您的 Microsoft AD 目錄。 LDAPS AWS

  • 建立根 Microsoft 企業 CA – 使用此選項,您可以使用 Amazon 在 AWS 雲端中建立根 Microsoft 企業 CA,EC2並將其加入您的 AWS Managed Microsoft AD 網域。此根 CA 可以對您的網域控制站發出憑證。如需設定新根 CA 的詳細資訊,請參閱步驟 3:在如何為 Managed Microsoft AD Directory 啟用伺服器端中安裝和設定離線 CA LDAPS AWS

如需如何將EC2執行個體加入網域的詳細資訊,請參閱 將 Amazon EC2執行個體加入 AWS Managed Microsoft AD 的方法

步驟 3:建立憑證範本

設定企業 CA 之後,您可以設定 Kerberos 身分驗證憑證範本。

建立憑證範本

  1. 啟動 Microsoft Windows Server Manager。選取工具 > 憑證授權機構

  2. 憑證授權機構視窗中,展開左窗格中的憑證授權機構樹狀目錄。在憑證範本上按一下滑鼠右鍵,然後選擇管理

  3. 憑證範本主控台視窗中,在 Kerberos 身分驗證上按一下滑鼠右鍵,然後選擇複製範本

  4. 新模板的屬性視窗將彈出。

  5. 新範本的屬性視窗中,前往相容性索引標籤,然後執行下列動作:

    1. 憑證授權機構變更為符合 CA 的作業系統。

    2. 如果彈出產生的變更視窗,請選取確定

    3. 憑證收件人變更為 Windows 10 / Windows Server 2016

      注意

      AWS Managed Microsoft AD 採用 Windows Server 2019 技術。

    4. 如果彈出產生的變更視窗,請選取確定

  6. 按一下一般索引標籤,並將範本顯示名稱變更為 LDAPOverSSL或您想要的任何其他名稱。

  7. 按一下安全性索引標籤,然後在群組或使用者名稱區段中選擇域控制站。在域控制站權限區段中,確認已核取讀取登錄自動註冊允許核取方塊。

  8. 選擇確定以建立 LDAPOverSSL(或您在上面指定的名稱) 憑證範本。關閉憑證範本主控台視窗。

  9. 憑證授權機構視窗中,在憑證範本上按一下滑鼠右鍵,然後選擇新增 > 要發出的憑證範本

  10. 啟用憑證範本視窗中,選擇 LDAPOverSSL(或您在上面指定的名稱),然後選擇確定

步驟 4:新增安全群組規則

在最後一個步驟中,您必須開啟 Amazon EC2主控台並新增安全群組規則。這些規則允許您的網域控制站連線到企業 CA,以請求憑證。若要執行此作業,您可以新增輸入規則,讓企業 CA 可以接受來自網域控制站的連入流量。然後,您可以新增輸出規則,允許從網域控制站到企業 CA 的流量。

設定完這兩個規則後,網域控制站會自動向企業 CA 請求憑證LDAPS,並為目錄啟用 。網域控制器上的 LDAP服務現在已準備好接受LDAPS連線。

設定安全群組規則

  1. https://console.aws.amazon.com/ec2 導覽至您的 Amazon EC2主控台,並使用管理員憑證登入。

  2. 在左窗格的 Network & Security (網路與安全) 下,選擇 Security Groups (安全群組)。

  3. 在主窗格中,選擇 CA AWS 的安全群組。

  4. 選擇 Inbound (入站) 標籤,然後選擇 Edit (編輯)。

  5. Edit inbound rules (編輯輸入規則) 對話方塊中,執行下列動作:

    • 選擇 Add Rule (新增規則)。

    • Type (類型) 選擇 All traffic (所有流量),並在 Source (來源) 選擇 Custom (自訂)。

    • 來源 旁的方塊中,輸入目錄 AWS 的安全群組 (例如 sg-123456789)。

    • 選擇 Save (儲存)。

  6. 現在選擇 AWS Managed Microsoft AD 目錄 AWS 的安全群組。選擇 Outbound (輸出) 標籤,然後選擇 Edit (編輯)。

  7. Edit outbound rules (編輯輸出規則) 對話方塊中,執行下列動作:

    • 選擇 Add Rule (新增規則)。

    • Type (類型) 選擇 All traffic (所有流量),並在 Destination (目標) 選擇 Custom (自訂)。

    • 目的地 旁的方塊中輸入 CA AWS 的安全群組。

    • 選擇 Save (儲存)。

您可以使用 LDP工具測試與 AWS Managed Microsoft AD 目錄的LDAPS連線。LDP 工具隨附 Active Directory 管理工具。如需詳細資訊,請參閱安裝 AWS Managed Microsoft AD 的 Active Directory 管理工具

注意

測試LDAPS連線之前,您必須等待最多 30 分鐘,讓下級 CA 向網域控制器發出憑證。

如需伺服器端的其他詳細資訊LDAPS,並查看如何設定的範例使用案例,請參閱 AWS 安全部落格上的如何啟用受 AWS 管 Microsoft AD 目錄LDAPS的伺服器端