AWS Directory Service 开启ldaps

最新推荐文章于 2025-02-26 00:07:52 发布
最新推荐文章于 2025-02-26 00:07:52 发布
阅读量1.1k 收藏 7
点赞数 9
文章标签: 云计算 ldap ldaps
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_22256259/article/details/135486842
版权

启用客户端 LDAPS

要启用客户端 LDAPS,您需要将证书颁发机构(CA)证书导入 AWS Managed Microsoft AD,然后在目录上启用 LDAPS。启用后,AWS 应用程序与您自行管理的 Active Directory 之间的所有 LDAP 通信将通过安全套接字层 (SSL) 通道加密进行传输。

您可以使用两种不同的方法为您的目录启用客户端 LDAPS。您可以使用 AWS Management Console 方法或 AWS CLI 方法。

注意
客户端 LDAPS 是 AWS Managed Microsoft AD 的一项区域性功能。如果您使用的是 多区域复制,则必须分别在每个区域中应用以下过程。有关更多信息,请参阅 全局与区域特色。

主题
步骤 1:在 AWS Directory Service 中注册证书
步骤 2:检查注册状态
步骤 3:启用客户端 LDAPS
步骤 4:查看 LDAPS 状态
步骤 1:在 AWS Directory Service 中注册证书
使用下列方法之一在 AWS Directory Service 中注册证书。

方法 1:在 AWS Directory Service 中注册您的证书 (AWS Management Console)
在 AWS Directory Service 控制台导航窗格中,选择目录。

选择目录的目录 ID 链接。

在报告详细信息页面上,执行以下操作之一:

如果多区域复制下显示多个区域,选择想要注册证书的区域,然后选择网络与安全选项卡。有关更多信息,请参阅 主区域与其他区域。

如果多区域复制下未显示任何区域,选择网络与安全选项卡。

在 Client-side LDAPS (客户端 LDAPS) 部分中,选择 Actions (操作) 菜单,然后选择 Register certificate (注册证书)。

在 Register a CA certificate (注册 CA 证书) 对话框中,选择 Browse (浏览),然后选择证书并选择 Open (打开)。

选择 Register certificate (注册证书)。

方法 2:在 AWS Directory Service 中注册您的证书 (AWS CLI)
运行以下命令。对于证书数据,请指向 CA 证书文件的位置。响应中将会提供证书 ID。

aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path
步骤 2:检查注册状态
要查看证书注册的状态或已注册证书的列表,请使用以下任一方法。

方法 1:在 AWS Directory Service 中检查证书注册状态 (AWS Management Console)
转到目录详细信息页面上的客户端 LDAPS 部分。

查看 Registration status (注册状态) 列下显示的当前证书注册状态。当注册状态值更改为 Registered (已注册) 时,您的证书已成功注册。

方法 2:在 AWS Directory Service 中检查证书注册状态 (AWS CLI)
运行以下命令。如果状态值返回 Registered,则表示您的证书已成功注册。

aws ds list-certificates --directory-id your_directory_id
步骤 3:启用客户端 LDAPS
使用下列方法之一在 AWS Directory Service 中启用客户端 LDAPS。

注意
您必须已成功注册至少一个证书,然后才能启用客户端 LDAPS。

方法 1:在 AWS Directory Service 中启用客户端 LDAPS (AWS Management Console)
转到目录详细信息页面上的客户端 LDAPS 部分。

请选择 Enable。如果此选项不可用,请验证有效证书是否已成功注册,然后重试。

在 Enable client-side LDAPS (启用客户端 LDAPS) 对话框中,选择 Enable (启用)。

方法 2:在 AWS Directory Service 中启用客户端 LDAPS (AWS CLI)
运行以下命令。

aws ds enable-ldaps --directory-id your_directory_id --type Client
步骤 4:查看 LDAPS 状态
使用下列方法之一检查 AWS Directory Service 中的 LDAPS 状态。

方法 1:在 AWS Directory Service 中检查 LDAPS 状态 (AWS Management Console)
转到目录详细信息页面上的客户端 LDAPS 部分。

如果状态值显示为 Enabled (启用),则 LDAPS 已成功配置。

方法 2:在 AWS Directory Service 中检查 LDAPS 状态 (AWS CLI)
运行以下命令。如果状态值返回 Enabled,则 LDAPS 已成功配置。

aws ds describe-ldaps-settings –-directory-id your_directory_id
管理客户端 LDAPS

使用这些命令可管理 LDAPS 配置。

您可以使用两种不同的方法来管理客户端 LDAPS 设置。您可以使用 AWS Management Console 方法或 AWS CLI 方法。

查看证书详细信息
使用下列方法之一查看证书设置为何时过期。

方法 1:在 AWS Directory Service 中查看证书详细信息 (AWS Management Console)
在 AWS Directory Service 控制台导航窗格中,选择目录。

选择目录的目录 ID 链接。

在报告详细信息页面上,执行以下操作之一:

如果多区域复制下显示多个区域,选择想要查看证书的区域,然后选择网络与安全选项卡。有关更多信息,请参阅 主区域与其他区域。

如果多区域复制下未显示任何区域,选择网络与安全选项卡。

在 Client-side LDAPS (客户端 LDAPS) 部分的 CA certificates (CA 证书) 下,将显示有关证书的信息。

方法 2:在 AWS Directory Service 中查看证书详细信息 (AWS CLI)
运行以下命令。对于证书 ID,请使用由 register-certificate 或 list-certificates 返回的标识符。

aws ds describe-certificate --directory-id your_directory_id --certificate-id your_cert_id
取消注册证书
使用下列方法之一取消注册证书。

注意
如果只注册了一个证书,则必须先禁用 LDAPS,然后才能取消注册证书。

方法 1:在 AWS Directory Service 中取消注册证书 (AWS Management Console)
在 AWS Directory Service 控制台导航窗格中,选择目录。

选择目录的目录 ID 链接。

在报告详细信息页面上,执行以下操作之一:

如果多区域复制下显示多个区域,选择想要取消注册证书的区域,然后选择网络与安全选项卡。有关更多信息,请参阅 主区域与其他区域。

如果多区域复制下未显示任何区域,选择网络与安全选项卡。

在 Client-side LDAPS (客户端 LDAPS) 部分中,选择 Actions (操作),然后选择 Deregister certificate (取消注册证书)。

在 Deregister a CA certificate (取消注册 CA 证书) 对话框中,选择 Deregister (取消注册)。

方法 2:在 AWS Directory Service 中取消注册证书 (AWS CLI)
运行以下命令。对于证书 ID,请使用由 register-certificate 或 list-certificates 返回的标识符。

aws ds deregister-certificate --directory-id your_directory_id --certificate-id your_cert_id
禁用客户端 LDAPS
使用下列方法之一禁用客户端 LDAPS。

方法 1:在 AWS Directory Service 中禁用客户端 LDAPS (AWS Management Console)
在 AWS Directory Service 控制台导航窗格中,选择目录。

选择目录的目录 ID 链接。

在报告详细信息页面上,执行以下操作之一:

如果多区域复制下显示多个区域,选择想要禁用客户端 LDAPS 的区域,然后选择网络与安全选项卡。有关更多信息,请参阅 主区域与其他区域。

如果多区域复制下未显示任何区域,选择网络与安全选项卡。

在 Client-side LDAPS (客户端 LDAPS) 部分中,选择 Disable (禁用)。

在 Disable client-side LDAPS (禁用客户端 LDAPS) 对话框中,选择 Disable (禁用)。

方法 2:在 AWS Directory Service 中禁用客户端 LDAPS (AWS CLI)
运行以下命令。

aws ds disable-ldaps --directory-id your_directory_id --type Client

为Microsoft Active Directory服务器启用基于SSL的LDAP(LDAPS)
谢公子的博客
04-22 3268
使用OpenSSL,创建新的私钥和根证书。执行如下命令,将生成文件 ca.key 和 ca.crt openssl genrsa -aes256 -out ca.key 4096 openssl req -new -x509 -days 3650 -key ca.key -out ca.crt 参考文章:https://gist.github.com/magnetikonline/0ccdabfec58eb1929c997d22e7341e45 ...
内网渗透(八十四)之ADCS配置启用基于SSL的LDAP(LDAPS)
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
05-26 1688
然后会有一个Kerberos身份验证的副本,右键更改名称,更改为LDAPS。然后一直下一步,到了下面选择之前创建的LDAPS。设置模板属性,请求处理——>允许导出私钥(O)选择Kerberos身份验证,右键 复制模板。至此,已经完成了LDAPS的配置了。打开AD CS,选择证书颁发机构。配置为计算机账户,点击下一步。选择“本地计算机”,点击完成。然后打开控制台,输入MMC。选择LDAPS,右键属性。选择证书模板,右键管理。点击添加或删除管理单元。选择“证书”,点击添加。选择LDAPS,确定。
在Windows上启用LDAPs
apple2025262的博客
07-30 3513
公司的环境比较特殊, Windows server + Linux desktop, 所以我们希望在server端启用LDAP over SSL功能. 当中走了不少弯路, 网上文章也搜了一大堆,千辛万苦终于搞定,现在把过程记录下来. 域控制器: 基于Win2012R2, 搭建这个没什么难度所以过程省略. 证书服务器: Windows CA --> Ubuntu Serve...
AWS Directory Service
iloveaws的博客
02-16 820
在认证考试中有很多的考点是关于微软AD部分的,也就是微软活动目录以及AWS活动目录服务—AWS Directory Service的内容。微软活动目录知识面比较复杂,如果您完全不了解微软活动目录,那么学习本课时可能会有些吃力,建议先去看一些微软活动目录的基础知识。那什么是微软活动目录呢?AD在Windows 2000 Server开始内置于Windows Server产品中。它是微软Windows Server中,负责架构中大型网络环境的集中式目录管理服务(Directory Services)。
什么是ldap
最新发布
kangsfcc的博客
02-26 480
LDAPSLDAP over SSL/TLS)是LDAP的加密版本,默认使用端口636,通过SSL/TLS加密传输数据,防止中间人攻击。是一种用于访问和管理分布式目录服务的协议,广泛应用于企业用户认证、资源管理等领域。2.通过工具(如LdapAdmin)连接,获取用户列表及密码哈希。:通过恶意CLDAP请求导致域控LSASS服务崩溃,触发系统重启。:未配置访问控制列表(ACL),允许匿名用户读取敏感数据。:应用程序未对用户输入过滤,构造恶意查询绕过认证。:禁用LDAP明文端口389,仅开放636。
68. AWS Directory Service
JessicaWin
02-11 446
AWS Directory Service provides multiple ways to use Microsoft Active Directory (AD) with other AWS services.
AWS Directory Service创建
SINGWIN01的博客
01-01 462
现在正在部署 town.com AWS Managed AD 资源。您已创建一对连接到 Virtual Private Cloud (VPC) 的高可用性域控制器。域控制器在 AWS 区域的不同可用区中运行。系统会自动为您配置和管理主机监控和恢复、数据复制、快照和软件更新。设置需要 20-45 分钟才能完成。在AWS控制台的搜索框上搜索Directory Service。根据需求选择目录类型,这里选择AWS托管的活动目录。选择标准版并输入目标DNS名称和密码。在导航栏选择目录,点击设置目录。
MinIO调研
ChenNuo_shuai的博客
11-08 3082
MinIO调研
计算机端口详解
墨鱼菜鸡
07-11 7398
一、摘要 计算机 "端口" 是英文 port ,可以认为是计算机与外界通讯交流的出口。 其中硬件领域的 端口 又称 接口,如:USB端口、串行端口等。软件领域的 端口 一般指网络中面向连接服务和无连接服务的通信协议端口,是一种抽象的软件结构,包括一些 数据结构 和 I/O(基本输入输出)缓冲区。 面向连接 和 无连接 协议(Connection-Or...
实用端口对照表
热门推荐
Bala大叔
10-29 1万+
1 tcpmux TCP Port Service Multiplexer 传输控制协议端口服务多路开关选择器 2 compressnet Management Utility    compressnet 管理实用程序 3 compressnet Compression Process    压缩进程 5 rje Remote Job Entry         远程作业登录 7 e...
网络端口大全
愚 公
04-30 5387
1  tcpmux TCP PortService Multiplexer       传输控制协议端口服务多路开关选择器 2  compressnet Management Utility     compressnet 管理实用程序 3  compressnet Compression Process 压缩进程 5  rje Remote Job Entry         远程作
LDAP加密访问AD(overssl)(LDAPS )C++
05-17
通过LDAPoverSSL访问AD,可忽略证书,亲测可通,AD证书过期以及无效均可以正常访问,依赖WLdap32库,下载可自行修改AD地址和账户进行测试
Security LDAP and LDAPS
12-21
application security - LDAP Authentication. Index: Microsoft Active Directory Server 2003 OpenLdap Server 2.3 Ldap Terminology Ldap schemes: Ldap and ldaps Ldap authentication methods LDAP Simple Authentication Example: Simple Authentication over SSL layer SASL Authentication SASL Mechanisms Supported by LDAP Servers Digest-MD5 Authentication Example: Digest-MD5 Authentication Example: External SASL Authentication using SSL Comparison of Common Ldap Authentication Methods LDAP Authentication Troubleshooting
ldap浏览器
08-19
ldapbrowser强大可靠,不用代码实现的登录
最简单的LDAPS服务器搭建方法--ApacheDS 安装以及LDAPS配置
03-16
在大数据集群的搭建过程中,LDAPS单点认证服务器的搭建几乎是最为困难的,网上搜索到的文档几乎都不可用,该文档提供了一种最简便的搭建方法,让你一次搭建成功。
Neo4j 4.0 / 4.1 配置快速参考 - 单服务器模式,适用于社区版和企业版
GraphWay的博客
07-13 2904
Neo4j 4.0/4.1是最新的Neo4j 图数据库平台产品,提供多数据库、跨库查询、细粒度数据访问控制等丰富特性。相比3.5,4.0在配置方面也有不少改变。为了方便大家快速上手,这里提供一个配置样例。 1、系统环境 - Windows 10,Linux同样适用; - CPU: 4 cores - RAM: 32GB,分配给Neo4j一共6GB。 - 硬盘:强烈建议用SSD,如果没有就通过USB3 外接一个。 - 适用的数据库大小:<1亿节点、5亿关系,约50GB在数据库目录下。 2、
AWS托管AD + Yearning配置LDAP认证登录
Dexter's Laboratory
04-17 2085
AWS托管AD配置 具体创建过程不再赘述, 这里使用我之前创建好的一个AD, 主要是记录下来AD的两个DNS地址, 可以从控制台中查看到 EC2实例配置 先使用Amazon Linux 2 AMI启动一台新的实例, 主要的服务都在这台实例上完成, SSH连上以后进行下面操作 # 懒得装docker了, 直接本地装mariadb sudo amazon-linux-extras install mariadb10.5 # 开启mariadb服务 sudo systemctl enable mariadb -
[OpenBMC] LDAP 设定(三) - LDAPS(LDAP over TLS)
yeiris的博客
01-29 5789
openbmc ldap设定和验证,能从以下几个方向来看 nss-pam-ldapd[OpenBMC] LDAP 设定(一) - nss-pam-ldapd LDAP server 架设 Redfish/Web设定[OpenBMC] LDAP 设定(二) - openldap 伺服架设与BMC的设定 LDAP over TLS 终于到了最后一个部分 LDAPS, 这部分我们会依序介绍 TLS的原理(这边会补充密码学基础) 非对称式加密 vs 对称式加密 数位签章 数位凭证 TLS握.
server2019 ldaps
01-16
### Windows Server 2019 LDAP over SSL (LDAPS) 配置与故障排除 #### LDAPS概述 轻量级目录访问协议(LDAP)用于查询和修改活动目录中的对象。通过SSL/TLS加密通道传输数据可以提高安全性,即LDAP over SSL (LDAPS)[^4]。 #### 安装证书颁发机构(CA) 为了实现LDAPS,在Windows Server上安装并配置企业根CA是必要的。这可以通过AD CS(Active Directory Certificate Services)角色完成。一旦设置好内部CA,则可签发服务器身份验证类型的证书给域控制器(DC),该证书将被用来建立安全连接[^5]。 #### 获取并安装LDAPS证书 对于每台作为DC运行的计算机而言,需申请一个具有特定属性(例如SAN字段包含FQDN)的SSL证书,并将其绑定到相应的服务端口636。此过程通常涉及使用certreq工具提交CSR请求文件至已有的PKI基础设施中获得签名后的公钥凭证[^6]。 ```powershell # 创建证书模板链接脚本示例 $Template = Get-CATemplate -Name "WebServer" Set-CACertificationAuthority -AddCertificateTemplate $Template.DistinguishedName ``` #### 修改注册表项启用LDAPS监听器 默认情况下,Win2k19 DC仅开启标准明文模式下的LDAP监听;要激活TLS/SSL支持还需调整系统级别的参数: - 导航路径:`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters` - 新建DWORD值名为:“LdapEnforceChannelBinding”,设其等于0x00000001以强制执行信道绑定机制[^7] #### 测试LDAPS功能正常与否 利用命令行实用程序如`ldp.exe`或PowerShell模块来检验能否成功发起基于HTTPS的安全会话以及读取目标OU内的资源记录等操作是否顺畅无阻。 ```powershell # 使用PowerShell测试LDAPS连接 Test-ComputerName dc.example.com -Port 636 -UseSsl ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

焱宣

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值