启用智能卡身份验证 - Amazon Directory Service
步骤 1:为 AD Connector 服务账户启用 Kerberos 约束委托步骤 2:在 AD Connector 中注册 CA 证书步骤 3:为支持的 Amazon 应用程序和服务启用智能卡身份验证
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

启用智能卡身份验证

要在 AD Connecto WorkSpaces r 上启用智能卡身份验证,首先需要将证书颁发机构 (CA) 证书导入 AD Connector。您可以使用 Amazon Directory Service 控制台、API 或 CLI 将您的 CA 证书导入 AD Connecto r。按照以下步骤导入您的 CA 证书,然后启用智能卡身份验证。

步骤 1:为 AD Connector 服务账户启用 Kerberos 约束委托

要对 AD Connector 使用智能卡身份验证,必须为 AD Connector 服务账户对自行管理 AD 目录中的 LDAP 服务启用 Kerberos 约束委托(KCD)

Kerberos 约束委托是 Windows Server 中的一项功能。此功能使管理员能够通过限制应用程序服务能够代表用户执行操作的范围,从而指定和实施应用程序信任边界。有关更多信息,请参阅 Kerberos 约束委托

注意

K@@ erberos 约束委托 (KCD) 要求 AD Connector 服务帐户的用户名部分与同一用户的 SaM AccountName 相匹配。SaM 限制AccountName 为 20 个字符。saM AccountName 是 Microsoft 的 Active Directory 属性,用作先前版本的 Windows 客户端和服务器的登录名。

  1. 使用 SetSpn 命令为自行管理 AD 中的 AD Connector 服务账户设置服务主体名称(SPN)。这将启用委托配置的服务账户。

    SPN 可以是任何服务或名称组合,但不能与现有 SPN 重复。-s 检查是否存在重复项。

    setspn -s my/spn service_account

  2. AD 用户和计算机中,打开“上下文”(右键单击)菜单并选择“AD Connector 服务账户”,然后选择属性

  3. 选择委托选项卡。

  4. 选择仅信任此用户以委托到指定服务使用任何身份验证协议选项。

  5. 选择添加,然后选择用户或计算机以查找域控制器。

  6. 选择确定以显示用于委托的可用服务列表。

  7. 选择 ldap 服务类型,然后选择确定

  8. 再次选择确定以保存配置。

  9. 对 Active Directory 中的其他域控制器重复此过程。或者,您可以使用自动执行该过程 PowerShell。

步骤 2:在 AD Connector 中注册 CA 证书

使用以下任一方法为您的 AD Connector 目录注册 CA 证书。

方法 1:在 AD Connector(Amazon Web Services Management Console)中注册您的证书

  1. Amazon Directory Service 控制台导航窗格中,选择目录

  2. 选择目录的目录 ID 链接。

  3. Directory details (目录详细信息) 页面上,选择 Networking & security (网络和安全性) 选项卡。

  4. 智能卡身份验证部分,选择操作,然后选择注册证书

  5. 注册 CA 证书对话框中,选择选择文件,然后选择证书并选择打开。您可以选择通过提供在线证书状态协议(OCSP)响应程序 URL 来对此证书执行吊销检查。有关 OCSP 的更多信息,请参阅 证书吊销检查流程

  6. 选择 Register certificate (注册证书)。当您看到证书状态更改为已注册时,表示注册过程已成功完成。

方法 2:在 AD Connector(Amazon CLI)中注册您的证书

  • 运行以下命令。对于证书数据,请指向 CA 证书文件的位置。要提供辅助 OCSP 响应程序地址,请使用可选的 ClientCertAuthSettings 对象。

    aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path --type ClientCertAuth --client-cert-auth-settings OCSPUrl=http://your_OCSP_address

    如果成功,响应将提供证书 ID。您也可以通过运行以下 CLI 命令来验证您的 CA 证书是否注册成功:

    aws ds list-certificates --directory-id your_directory_id

    如果状态值返回 Registered,则表示您的证书已成功注册。

步骤 3:为支持的 Amazon 应用程序和服务启用智能卡身份验证

使用以下任一方法为您的 AD Connector 目录注册 CA 证书。

方法 1:在 AD Connector(Amazon Web Services Management Console)中启用智能卡身份验证

  1. 导航到目录详细信息页面上的智能卡身份验证部分,然后选择启用。如果此选项不可用,请验证有效证书是否已成功注册,然后重试。

  2. 启用智能卡身份验证对话框中,选择启用

方法 2:在 AD Connector(Amazon CLI)中启用智能卡身份验证

  • 运行以下命令。

    aws ds enable-client-authentication --directory-id your_directory_id --type SmartCard

    如果成功,则 AD Connector 会返回带有空 HTTP 正文的 HTTP 200 响应。