启用智能卡身份验证

要将智能卡身份验证与 AD Connector 一起使用，必须启用Kerberos 约束委托 (KCD)用于 AD Connector 服务帐户转移到自管 AD. 目录中的 LDAP 服务。

Kerberos 约束委托是 Windows Server 中的一项功能。此功能使得管理员可以限制应用程序能够代表用户执行操作的范围，从而指定和实施应用程序信任边界。有关更多信息，请参阅 。Kerberos 约束委托.

1. 使用SetSpn命令为自管 AD 中的 AD Connector 服务帐户设置服务主体名称 (SPN)。这将启用服务帐户进行委派配置。

   SPN 可以是任何服务或名称组合，但不能是现有 SPN 的副本。这些区域有：-s检查重复项。

   setspn -s my/spn service_account

2. InAD 用户和计算机，右键单击 AD Connector 服务帐户，然后选择属性。

3. 选择委托选项卡。

4. 选择信任此用户仅委派给指定的服务和使用任何验证协议单选按钮。

5. 选择Add然后用户或计算机找到域控制器。

6. 选择确定以显示用于委托的可用服务列表。

7. 选择LDAP服务类型，然后单击确定.

8. 单击确定再次保存配置。

9. 对 AD 中的其他域控制器重复此过程。或者，您可以使用 PowerShell 自动化该过程。

方法 1：要在 AD Connector 中注册您的 CA 证书 (Amazon Web Services Management Console）

1. 在Amazon Directory Service控制台选择导航窗格，选择目录.

2. 选择目录的目录 ID 链接。

3. 在 Directory details (目录详细信息) 页面上，选择 Networking & security (网络和安全性) 选项卡。

4. 在智能卡身份验证部分中，选择操作菜单，然后选择注册证书.

5. 在注册证书对话框中，选择选择文件，然后选择一个证书然后选择打开. 您可以选择提供联机证书状态协议 (OCSP) 响应程序 URL，从而对此证书执行吊销检查。有关 OCSP 的更多信息，请参阅证书吊销检查过程.

6. 选择 Register certificate (注册证书)。当你看到证书状态更改为已注册，注册过程已成功完成。

方法 2：要在 AD Connector 中注册您的 CA 证书 (Amazon CLI）

• 运行以下 命令。对于证书数据，请指向 CA 证书文件的位置。要提供辅助 OCSP 响应方地址，请使用可选ClientCertAuthSettings对象。

  aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path --type ClientCertAuth --client-cert-auth-settings OCSPUrl=http://your_OCSP_address

  如果成功，响应将提供证书 ID。您还可以运行以下 CLI 命令，验证 CA 证书是否成功注册：

  aws ds list-certificates --directory-id your_directory_id

  如果状态值返回Registered，您已成功注册证书。

方法 1：在 AD Connector 中启用智能卡身份验证 (Amazon Web Services Management Console）

1. 转至智能卡身份验证在部分中目录详细信息页面，然后选择启用. 如果此选项不可用，请验证有效证书是否已成功注册，然后重试。

2. 在启用智能卡身份验证对话框中，选择启用.

方法 2：在 AD Connector 中启用智能卡身份验证 (Amazon CLI）

• 运行以下 命令。

  aws ds enable-client-authentication --directory-id your_directory_id --type SmartCard

  如果成功，AD Connector 将返回HTTP 200用空的 HTTP 正文进行响应。