启用智能卡身份验证 - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

启用智能卡身份验证

要启用智能卡身份验证,请使用以下步骤将证书颁发机构 (CA) 证书导入 AD Connector 中,使用Amazon Directory Service控制台,API要么CLI. 然后在 AD Connector 上为 WorkSpaces 启用智能卡身份验证。

第 1 步:为 AD Connector 服务帐户启用 Kerberos 受限委派

要将智能卡身份验证与 AD Connector 一起使用,必须启用Kerberos 约束委托 (KCD)用于 AD Connector 服务帐户转移到自管 AD. 目录中的 LDAP 服务。

Kerberos 约束委托是 Windows Server 中的一项功能。此功能使得管理员可以限制应用程序能够代表用户执行操作的范围,从而指定和实施应用程序信任边界。有关更多信息,请参阅 。Kerberos 约束委托.

  1. 使用SetSpn命令为自管 AD 中的 AD Connector 服务帐户设置服务主体名称 (SPN)。这将启用服务帐户进行委派配置。

    SPN 可以是任何服务或名称组合,但不能是现有 SPN 的副本。这些区域有:-s检查重复项。

    setspn -s my/spn service_account
  2. InAD 用户和计算机,右键单击 AD Connector 服务帐户,然后选择属性。

  3. 选择委托选项卡。

  4. 选择信任此用户仅委派给指定的服务使用任何验证协议单选按钮。

  5. 选择Add然后用户或计算机找到域控制器。

  6. 选择确定以显示用于委托的可用服务列表。

  7. 选择LDAP服务类型,然后单击确定.

  8. 单击确定再次保存配置。

  9. 对 AD 中的其他域控制器重复此过程。或者,您可以使用 PowerShell 自动化该过程。

第 2 步:在 AD Connector 中注册 CA 证书

使用下列方法之一为 AD Connector 目录注册 CA 证书。

方法 1:要在 AD Connector 中注册您的 CA 证书 (Amazon Web Services Management Console)

  1. Amazon Directory Service控制台选择导航窗格,选择目录.

  2. 选择目录的目录 ID 链接。

  3. Directory details (目录详细信息) 页面上,选择 Networking & security (网络和安全性) 选项卡。

  4. 智能卡身份验证部分中,选择操作菜单,然后选择注册证书.

  5. 注册证书对话框中,选择选择文件,然后选择一个证书然后选择打开. 您可以选择提供联机证书状态协议 (OCSP) 响应程序 URL,从而对此证书执行吊销检查。有关 OCSP 的更多信息,请参阅证书吊销检查过程.

  6. 选择 Register certificate (注册证书)。当你看到证书状态更改为已注册,注册过程已成功完成。

方法 2:要在 AD Connector 中注册您的 CA 证书 (Amazon CLI)

  • 运行以下 命令。对于证书数据,请指向 CA 证书文件的位置。要提供辅助 OCSP 响应方地址,请使用可选ClientCertAuthSettings对象。

    aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path --type ClientCertAuth --client-cert-auth-settings OCSPUrl=http://your_OCSP_address

    如果成功,响应将提供证书 ID。您还可以运行以下 CLI 命令,验证 CA 证书是否成功注册:

    aws ds list-certificates --directory-id your_directory_id

    如果状态值返回Registered,您已成功注册证书。

第 3 步:为支持启用智能卡身份验证Amazon应用程序和服务

使用下列方法之一为 AD Connector 目录注册 CA 证书。

方法 1:在 AD Connector 中启用智能卡身份验证 (Amazon Web Services Management Console)

  1. 转至智能卡身份验证在部分中目录详细信息页面,然后选择启用. 如果此选项不可用,请验证有效证书是否已成功注册,然后重试。

  2. 启用智能卡身份验证对话框中,选择启用.

方法 2:在 AD Connector 中启用智能卡身份验证 (Amazon CLI)

  • 运行以下 命令。

    aws ds enable-client-authentication --directory-id your_directory_id --type SmartCard

    如果成功,AD Connector 将返回HTTP 200用空的 HTTP 正文进行响应。