在 AD Connector 中启用 m TLS 身份验证以用于智能卡 - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 AD Connector 中启用 m TLS 身份验证以用于智能卡

您可以使用带智能卡的基于证书的相互传输层安全 (mTLS) 身份验证, WorkSpaces 通过您自行管理的 Active Directory (AD) 和 AD Connector 对用户进行身份验证,进入亚马逊。启用后,用户将在 WorkSpaces 登录屏幕上选择自己的智能卡,然后输入 a PIN 进行身份验证,而不是使用用户名和密码。Windows 或 Linux 虚拟桌面可在此使用智能卡从本机桌面操作系统进行 AD 身份验证。

注意

AD Connector 中的智能卡身份验证仅在以下情况下可用 Amazon Web Services 区域,并且仅适用于 WorkSpaces。目前不支持其他 Amazon 应用程序。

  • 美国东部(弗吉尼亚州北部)

  • 美国西部(俄勒冈州)

  • 亚太地区(悉尼)

  • 亚太地区(东京)

  • 欧洲地区(爱尔兰)

  • Amazon GovCloud (美国西部)

  • Amazon GovCloud (美国东部)

您也可以取消注册和禁用证书。

先决条件

要使用智能卡为 Amazon WorkSpaces 客户端启用基于证书的相互传输层安全 (mTLS) 身份验证,您需要将可操作的智能卡基础设施与您的自我管理相集成 Active Directory。 有关如何通过 Amazon 设置智能卡身份验证的更多信息, WorkSpaces 以及 Active Directory,请参阅《亚马逊 WorkSpaces 管理指南》

在为启用智能卡身份验证之前 WorkSpaces,请查看以下先决条件:

CA 证书要求

AD Connector 需要证书颁发机构(CA)证书(代表用户证书的颁发者)用于智能卡身份验证。AD Connector 将 CA 证书与用户通过其智能卡提供的证书进行匹配。请注意以下 CA 证书要求:

  • CA 证书的有效期必须大于 90 天才能进行注册。

  • CA 证书必须采用隐私增强型邮件 () PEM 格式。如果您从 Active Directory 内部导出 CA 证书,请选择 Base64 编码的 X.509 (. CER) 作为导出文件格式。

  • 必须上传从颁发证书 CA 链接到用户证书的所有根证书和中间 CA 证书,智能卡身份验证才能成功。

  • 每个 AD Connector 目录最多可存储 100个 CA 证书

  • AD Connector RSASSA 不支持 CA 证书的PSS签名算法。

  • 验证证书传播服务是否设置为 “自动” 且正在运行。

用户证书要求

以下是用户证书的一些要求:

  • 用户的智能卡证书具有用户的使用者备用名称 (SAN) userPrincipalName (UPN)。

  • 用户的智能卡证书使用增强型密钥用法作为智能卡登录 (1.3.6.1.4.1.311.20.2.2) 客户端身份验证 (1.3.6.1.5.5.7.3.2)。

  • 用户智能卡证书的在线证书状态协议 (OCSP) 信息应为 “权限信息访问” 中的 “访问方法=在线证书状态协议 (1.3.6.1.5.5.7.48.1)”。

有关 AD Connector 和智能卡身份验证要求的更多信息,请参阅《亚马逊 WorkSpaces 管理指南》中的要求。有关解决亚马逊 WorkSpaces 问题(例如登录 WorkSpaces、重置密码或连接到)的帮助 WorkSpaces,请参阅《亚马逊 WorkSpaces 用户指南》中的 “解决 WorkSpaces 客户问题”。

证书吊销检查流程

为了执行智能卡身份验证,AD Connector 必须使用在线证书状态协议 (OCSP) 检查用户证书的吊销状态。要执行证书吊销检查,OCSP响应者URL必须可以访问互联网。如果使用DNS名称,则OCSP响应者URL必须使用互联网号码分配机构 (IANA) 根区域数据库中的顶级域。

AD Connector 证书吊销检查过程如下:

  • AD Connector 必须检查OCSP响应者的用户证书中的授权信息访问权限 (AIA) 扩展URL,然后 AD Connector 使用URL来检查是否已撤销。

  • 如果 AD Connector 无法解析在用户证书AIA扩展中找到的问题,也无法在用户证书URL中找到OCSP响应者,那么 AD Connector 将使用根 CA 证书注册期间OCSPURL提供的可选内容。URL

    如果用户证书AIA扩展插件URL中的已解析但没有响应,则用户身份验证将失败。

  • 如果在根 CA 证书注册期间URL提供的OCSP响应者无法解析、无响应或未提供OCSP响应者,则用户身份验证将URL失败。

  • OCSP服务器必须符合 RFC6960。此外,对于总共小于或等于 255 字节的请求,OCSP服务器必须支持使用该GET方法的请求。

注意

AD Connecto HTTPURLr 要求OCSP响应者URL使用。

注意事项

在 AD Connector 中启用智能卡身份验证之前,请考虑以下事项:

  • AD Connector 使用基于证书的相互传输层安全身份验证(双向TLS),使用基于硬件或软件的智能卡证书对 Active Directory 的用户进行身份验证。目前仅支持普通门禁卡 (CACPIV) 和个人身份验证 () 卡。其他类型的基于硬件或软件的智能卡可能可以使用,但尚未经过与 WorkSpaces流媒体协议配合使用的测试。

  • 智能卡身份验证取代了用户名和密码身份验证 WorkSpaces。

    如果您在 AD Connector 目录中配置了其他 Amazon 应用程序并启用了智能卡身份验证,则这些应用程序仍会显示用户名和密码输入屏幕。

  • 启用智能卡身份验证会将用户会话时长限制为 Kerberos 服务票证的最大生命周期。您可以使用组策略配置此设置,默认情况下将其设置为 10 小时。有关该设置的更多信息,请参阅 Microsoft 文档

  • AD Connector 服务账户支持的 Kerberos 加密类型应与每个域控制器支持的 Kerberos 加密类型相匹配。

启用智能卡身份验证

要在 AD Connecto WorkSpaces r 上启用智能卡身份验证,首先需要将证书颁发机构 (CA) 证书导入 AD Connector。您可以使用 Amazon Directory Service 控制台将您的 CA 证书导入 AD Connector,API或者CLI。按照以下步骤导入您的 CA 证书,然后启用智能卡身份验证。

为 AD Connector 服务帐户启用 Kerberos 约束委派

要在 AD Connector 中使用智能卡身份验证,必须将 AD Connect or 服务帐户启用到自管理 AD 目录中的LDAP服务的 Kerberos 约束委派 (KCD)

Kerberos 约束委托是 Windows Server 中的一项功能。此功能使管理员能够通过限制应用程序服务能够代表用户执行操作的范围,从而指定和实施应用程序信任边界。有关更多信息,请参阅 Kerberos 约束委托

注意

Kerberos 约束委KCD托 () 要求 AD Connector 服务帐户的用户名部分与同一sAMAccount用户的名称相匹配。sAMAccount名称限制为 20 个字符。sAMAccount名称是 Microsoft 的 Active Directory 属性,用作先前版本的 Windows 客户端和服务器的登录名。

  1. 使用SetSpn命令为自管理 AD 中的 AD Connector 服务帐户设置服务主体名称 (SPN)。这将启用委托配置的服务账户。

    SPN可以是任何服务或名称组合,但不能是现有服务或名称的副本SPN。-s 检查是否存在重复项。

    setspn -s my/spn service_account
  2. AD 用户和计算机中,打开“上下文”(右键单击)菜单并选择“AD Connector 服务账户”,然后选择属性

  3. 选择委托选项卡。

  4. 选择仅信任此用户以委托到指定服务使用任何身份验证协议选项。

  5. 选择添加,然后选择用户或计算机以查找域控制器。

  6. 选择确定以显示用于委托的可用服务列表。

  7. 选择 ldap 服务类型,然后选择确定

  8. 再次选择确定以保存配置。

  9. 对 Active Directory 中的其他域控制器重复此过程。或者,您可以使用自动执行该过程 PowerShell。

在 AD Connector 中注册 CA 证书

使用以下任一方法为您的 AD Connector 目录注册 CA 证书。

方法 1:在 AD Connector(Amazon Web Services Management Console)中注册您的证书
  1. Amazon Directory Service 控制台导航窗格中,选择目录

  2. 选择目录的目录 ID 链接。

  3. Directory details (目录详细信息) 页面上,选择 Networking & security (网络和安全性) 选项卡。

  4. 智能卡身份验证部分,选择操作,然后选择注册证书

  5. 注册 CA 证书对话框中,选择选择文件,然后选择证书并选择打开。您可以选择通过提供在线证书状态协议 (OCSP) 响应URL器来选择对此证书执行吊销检查。有关的更多信息OCSP,请参阅证书吊销检查流程

  6. 选择 Register certificate (注册证书)。当您看到证书状态更改为已注册时,表示注册过程已成功完成。

方法 2:在 AD Connector(Amazon CLI)中注册您的证书
  • 运行以下命令。对于证书数据,请指向 CA 证书文件的位置。要提供辅助OCSP响应者地址,请使用可选ClientCertAuthSettings对象。

    aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path --type ClientCertAuth --client-cert-auth-settings OCSPUrl=http://your_OCSP_address

    如果成功,响应将提供证书 ID。您也可以通过运行以下CLI命令来验证您的 CA 证书已成功注册:

    aws ds list-certificates --directory-id your_directory_id

    如果状态值返回 Registered,则表示您的证书已成功注册。

为支持的 Amazon 应用程序和服务启用智能卡身份验证

使用以下任一方法为您的 AD Connector 目录注册 CA 证书。

方法 1:在 AD Connector(Amazon Web Services Management Console)中启用智能卡身份验证
  1. 导航到目录详细信息页面上的智能卡身份验证部分,然后选择启用。如果此选项不可用,请验证有效证书是否已成功注册,然后重试。

  2. 启用智能卡身份验证对话框中,选择启用

方法 2:在 AD Connector(Amazon CLI)中启用智能卡身份验证
  • 运行以下命令。

    aws ds enable-client-authentication --directory-id your_directory_id --type SmartCard

    如果成功,AD Connector 将返回一个带有空HTTP正文的HTTP 200响应。

有关查看证书、取消注册或禁用证书的更多信息,请参阅管理智能卡身份验证设置