启用智能卡身份验证 - Amazon Directory Service
步骤 1:为 AD 连接器服务帐户启用 Kerberos 受限委派步骤 2:在 AD 连接器中注册 CA 证书步骤 3:启用支持的智能卡身份验证Amazon应用程序和服务
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

启用智能卡身份验证

为启用智能卡身份验证WorkSpaces在您的 AD 连接器上,首先需要将您的证书颁发机构 (CA) 证书导入 AD 连接器。您可以使用以下方法将 CA 证书导入 AD 连接器Amazon Directory Service控制台,API要么CLI。使用以下步骤导入 CA 证书,然后启用智能卡身份验证。

步骤 1:为 AD 连接器服务帐户启用 Kerberos 受限委派

要在 AD 连接器中使用智能卡身份验证,必须启用Kerberos 受限委托 (KCD)将 AD 连接器服务帐户设置为自管理 AD 目录中的 LDAP 服务。

Kerberos 受限委派是 Windows 服务器中的一项功能。此功能使管理员能够通过限制应用程序服务可以代表用户执行的范围来指定和强制执行应用程序信任边界。有关更多信息,请参见Kerberos 限制了委托

注意

Kerberos 受限委托 (KCD)要求 AD Connector 服务帐户的用户名部分与 saM 匹配AccountName来自同一个用户。山姆AccountName限制为 20 个字符。saMAccountName是微软 Active Directory 的属性,用作先前版本的 Windows 客户端和服务器的登录名。

  1. 使用SetSpn命令为自管理 AD 中的 AD 连接器服务帐户设置服务主体名称 (SPN)。这使服务帐户可以进行委托配置。

    SPN 可以是任何服务或名称组合,但不能是现有 SPN 的副本。这个-s检查是否有重复项。

    setspn -s my/spn service_account

  2. AD 用户和计算机,打开上下文(右键单击)菜单并选择 AD Connector 服务帐户并选择房产

  3. 选择代表团选项卡。

  4. 选择信任此用户只能委托给指定服务使用任何身份验证协议选项。

  5. 选择添加然后用户或计算机找到域控制器。

  6. 选择好吧显示用于委托的可用服务列表。

  7. 选择轻点服务类型并选择好吧

  8. 选择好吧再次保存配置。

  9. 对 AD 中的其他域控制器重复此过程。或者,您可以使用以下方法自动执行该过程PowerShell。

步骤 2:在 AD 连接器中注册 CA 证书

使用以下任一方法为您的 AD 连接器目录注册 CA 证书。

方法 1:在 AD 连接器中注册您的 CA 证书 (Amazon Web Services Management Console)

  1. Amazon Directory Service控制台导航窗格,选择目录

  2. 选择目录的目录 ID 链接。

  3. Directory details (目录详细信息) 页面上,选择 Networking & security (网络和安全性) 选项卡。

  4. 智能卡身份验证部分,选择行动,然后选择注册证书

  5. 注册证书对话框,选择选择文件,然后选择证书并选择打开。您可以选择通过提供在线证书状态协议 (OCSP) 响应器 URL 来选择对此证书执行吊销检查。有关 OCSP 的更多信息,请参见证书吊销检查流程

  6. 选择 Register certificate (注册证书)。当您看到证书状态更改为已注册,注册过程已成功完成。

方法 2:在 AD 连接器中注册您的 CA 证书 (Amazon CLI)

  • 运行以下命令。对于证书数据,请指向 CA 证书文件的位置。要提供辅助 OCSP 响应器地址,请使用可选ClientCertAuthSettings对象。

    aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path --type ClientCertAuth --client-cert-auth-settings OCSPUrl=http://your_OCSP_address

    如果成功,响应将提供证书 ID。您也可以通过运行以下 CLI 命令来验证您的 CA 证书已成功注册:

    aws ds list-certificates --directory-id your_directory_id

    如果状态值返回Registered,您已成功注册证书。

步骤 3:启用支持的智能卡身份验证Amazon应用程序和服务

使用以下任一方法为您的 AD 连接器目录注册 CA 证书。

方法 1:在 AD 连接器中启用智能卡身份验证 (Amazon Web Services Management Console)

  1. 导航到智能卡身份验证关于的部分目录详情页面,然后选择启用。如果此选项不可用,请验证有效证书是否已成功注册,然后重试。

  2. 启用智能卡身份验证对话框,选择启用

方法 2:在 AD 连接器中启用智能卡身份验证 (Amazon CLI)

  • 运行以下命令。

    aws ds enable-client-authentication --directory-id your_directory_id --type SmartCard

    如果成功,AD 连接器会返回HTTP 200使用空 HTTP 正文进行响应。