AWS Directory Service
管理指南 (版本 1.0)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

为 AWS Managed Microsoft AD 启用安全的 LDAP 通信

轻量目录访问协议 (LDAP) 是用于与 Active Directory 之间读取和写入数据的标准通信协议。一些应用程序使用 LDAP 在 Active Directory 中添加、删除或搜索用户和组,或者传输凭证以便在 Active Directory 中对用户进行身份验证。

默认情况下,LDAP 通信未加密。这使得恶意用户能够使用网络监控软件查看传输中的数据包。这就是许多企业安全策略通常要求组织加密所有 LDAP 通信的原因。

为了缓解这种形式的数据泄漏,AWS Managed Microsoft AD 为您提供了一个选项,以启用通过安全套接字层 (SSL)/传输层安全性 (TLS) 的 LDAP 通信(也称为 LDAPS)。借助 LDAPS,您可以通过加密启用 LDAP 的应用程序与 AWS Managed Microsoft AD 目录之间的所有通信,提高传输中的安全性并满足合规性要求。

启用 LDAPS

您必须从用来管理 域控制器的 实例执行大多数设置。以下步骤指导您完成在 AWS 云中为您的域启用 LDAPS 的过程。

步骤 1:委托谁可以启用 LDAPS

要启用 LDAPS,您必须是您的 目录中的管理员或 委托企业证书颁发机构管理员组的成员,或者是默认管理用户(管理员账户)。如果您更希望某个用户而不是使用管理员账户来设置 LDAPS,则将此用户添加到您的 目录中的管理员或 委托企业证书颁发机构管理员组中。

步骤 2:设置您的证书颁发机构

在可以启用 LDAPS 之前,您必须创建由 Microsoft Enterprise Certificate Authority (CA) 服务器颁发的证书,该服务器已加入到您的 AWS Managed Microsoft AD 域。在创建后,该证书必须安装到该域中您的每个域控制器上。此证书使域控制器上的 LDAP 服务能够侦听并自动接受来自 LDAP 客户端的 SSL 连接。

注意

与 AWS Managed Microsoft AD 的 LDAPS 通信不支持由独立 CA 颁发的证书。

根据您的业务需求,您有以下选择来设置或连接到您域中的 CA:

  • Create a subordinate Microsoft Enterprise CA (创建从属 Microsoft Enterprise CA) –(推荐)使用此选项,您可以在使用 EC2 的 AWS 云中部署从属 Microsoft Enterprise CA 服务器,以便与您现有的根 Microsoft CA 配合使用。有关如何设置从属 Microsoft Enterprise CA 的更多信息,请参阅 Microsoft TechNet 网站上的安装从属证书颁发机构

  • Create a root Microsoft Enterprise CA (创建根 Microsoft Enterprise CA) – 使用此选项,您可以在使用 的 云中创建根 Microsoft Enterprise CA,并将它加入您的 AWS Managed Microsoft AD 域。此根 CA 可以向您的域控制器颁发证书。有关如何设置新的根 CA 的更多信息,请参阅 Microsoft TechNet 网站上的安装根证书颁发机构

有关如何将您的 EC2 实例加入域的更多信息,请参阅将 EC2 实例加入 AWS Managed Microsoft AD 目录

步骤 3:创建证书模板

在设置您的企业 CA 后,您可以在 Active Directory 中创建自定义 LDAPS 证书模板。必须在启用服务器身份验证和自动注册的情况下创建证书模板。有关更多信息,请参阅 Microsoft TechNet 网站上的创建新证书模板

创建证书模板

  1. 使用管理员凭证登录到您的 CA

  2. 启动 Server Manager (服务器管理器),然后选择 Tools (工具)Certification Authority (证书颁发机构)

  3. Certificate Authority 窗口中,展开左侧窗格中的您的 CA 树。右键单击 Certificate Templates,然后选择 Manage

  4. Certificate Templates Console 窗口中,右键单击 Domain Controller,然后选择 Duplicate Template

  5. Properties of New Template (新模板的属性) 窗口中,切换到 General (常规) 选项卡,并将 Template display name (模板显示名称) 更改为 ServerAuthentication

  6. 切换到 Security 选项卡,然后选择 Group or user names 部分中的 Domain Controllers。选中 Permissions forDomain Controllers 部分中的 Autoenroll 复选框。

  7. 切换到 Extensions 选项卡,选择 Extensions included in this template 部分中的 Application Policies,然后选择 Edit

  8. Edit Application Policies Extension 窗口中,选择 Client Authentication,然后选择 Remove。单击 OK (确定) 以创建 ServerAuthentication 证书模板,然后关闭 Certificate Templates Console (证书模板控制台) 窗口。

  9. Certificate Authority 窗口中,右键单击 Certificate Templates,然后选择 NewCertificate Template to Issue

  10. Enable Certificate Templates (启用证书模板) 窗口中,选择 ServerAuthentication,然后单击 OK (确定)

步骤 4:添加安全组规则

在最后一个步骤中,您必须打开 Amazon EC2 控制台并添加安全组规则,以便您的域控制器可以连接到您的企业 CA 以请求证书。为此,请添加入站规则,以便您的企业 CA 可以接受来自您的域控制器的传入流量。然后,添加出站规则以允许从您的域控制器到企业 CA 的流量。

一旦配置了两个规则,您的域控制器会自动从您的企业 CA 请求证书,并为您的目录启用 LDAPS。您的域控制器上的 LDAP 服务现已准备好接受 LDAPS 连接。

配置安全组规则

  1. 导航到您的 Amazon EC2 控制台:https://console.aws.amazon.com/ec2,然后使用管理员凭证登录。

  2. 在左侧窗格中,选择 Network & Security 下方的 Security Groups。

  3. 在主窗格中,为您的 CA 选择 AWS 安全组。

  4. 选择 Inbound 选项卡,然后选择 Edit

  5. Edit inbound rules 对话框中,执行以下操作:

    • 选择 Add Rule

    • 为 Type 选择 All traffic,并为 Source 选择 Custom。

    • Source (源) 旁边的框中键入您的 CA 的 AWS 安全组。

    • 选择 Save

  6. 现在,选择您的 目录的 安全组。选择 Outbound 选项卡,然后选择 Edit

  7. Edit outbound rules 对话框中,执行以下操作:

    • 选择 Add Rule

    • 为 Type 选择 All traffic,并为 Destination 选择 Custom。

    • Destination (目标) 旁边的框中键入您的 CA 的 AWS 安全组。

    • 选择 Save

您可以使用 LDP 工具测试与 AWS Managed Microsoft AD 目录的 LDAPS 连接。LDP 工具随 Active Directory 管理工具一起提供。有关更多信息,请参阅安装 Active Directory 管理工具

注意

在测试 LDAPS 连接之前,您必须等待最长 180 分钟时间,以便从属 CA 向您的域控制器颁发证书。

有关 LDAPS 的详细信息以及若要查看如何设置它的示例使用案例,请参阅 AWS 安全性博客上的如何为您的 AWS Managed Microsoft AD 目录启用 LDAPS

本页内容: