Cet article explique comment configurer une installation ePO hébergée par AWS avec AWS Active Directory.
Ce scénario est destiné aux utilisateurs qui souhaitent effectuer les actions suivantes :
- Utilisez l’installation existante de Active Directory sur AWS dans une région.
Et
- Étendez-le à l’ePO hébergé par le AWS, qui se trouve dans une autre région. Par exemple, les régions Etats-Unis et UE ci-dessous :
Dans l’une des régions, par exemple, la région des Etats-Unis, installez et configurez des instances ePO.
Utilisez les procédures suivantes pour configurer manuellement la connexion VPN avec une autre région.
Pour configurer une connexion VPN, vous devez suivre la procédure ci-dessous :
- Créez un Gateway client.
- Créez un Gateway privé virtuel.
- Cliquez sur la propagation de route dans votre table d’itinéraires.
- Créer une connexion VPN et configurer le client Gateway
Création d’un Gateway client
Une passerelle client fournit des informations sur les AWS relatives à votre équipement Gateway client ou application des logiciels.
Veuillez En tant que composant requis, vous devez créer un Adresse IP élastique dans une autre région, par exemple, le Royaume-Uni, qui est utilisé pour IPsec openswan serveur.
Pour créer une passerelle client à l’aide de la console:
- Ouvrez la console de cloud privé virtuel (VPC) Amazon.
- Dans le volet de navigation, sélectionnez Passerelles client, puis sur Créer un Gateway client.
- Renseignez les informations suivantes, puis choisissez Créer un Gateway client:
- Optionnel Obtenir Sans, entrez le nom de votre passerelle client. Cette opération crée un marqueur avec une clé Sanset la valeur que vous spécifiez.
- Obtenir Routage, définissez le type de routage sur Statique et indiquez l’adresse IP publique du Openswan serveur mentionné ci-dessus.

Création d’un Gateway privé virtuel
Une fois que vous avez créé une passerelle privée virtuelle, vous devez la joindre à votre VPC (Virtual Private Cloud).
Pour créer une passerelle privée virtuelle et l’attacher à votre VPC, procédez comme suit :
- Dans le volet de navigation, sélectionnez Passerelles privées virtuelles, Créer des Gateway privées virtuelles.
- Cliquez sur Créer des Gateway privées virtuelles.
- Sélectionnez la passerelle privée virtuelle que vous avez créée, puis choisissez Actions, Joindre à VPC.
- Sélectionnez votre VPC dans la liste et choisissez Oui, joindre.

Activer la propagation de route dans votre table d’itinéraires
Pour activer la propagation de routage à l’aide de la console :
- Dans le volet de navigation, sélectionnez Tables de routage.
- Sélectionnez la table d’itinéraires associée au sous-réseau. par défaut, il s’agit de la table principale de route pour le VPC.
- Dans la Propagation de l’itinéraire dans le volet de détails :
- Définissez Montage.
- Sélectionnez la passerelle privée virtuelle que vous avez créée dans la procédure précédente.
- Cliquez sur Enregistrer.

Créer une connexion VPN et configurer le client Gateway
Après avoir créé la connexion VPN, téléchargez le fichier fichier d’informations de configurationet l’utiliser pour configurer IPsec openswan Serveur.
Pour créer une connexion VPN et configurer la passerelle client :
- Dans le volet de navigation, sélectionnez Connexions VPN, Créer une connexion VPN.
- Renseignez les informations suivantes, puis choisissez Créer une connexion VPN:
- Sélectionnez le passerelle privée virtuelle que vous avez créés précédemment
- Sélectionnez le passerelle client que vous avez créés précédemment
- Définissez l’option de routage comme Statique, puis sélectionnez Créer une connexion VPN
- Lorsque la connexion est prête, sélectionnez-la, puis choisissez Télécharger la configuration.
- Dans la Télécharger la configuration boîte de dialogue, définissez la Fourn tant Openswan puis choisissez Oui, Télécharger.
- Suivez les étapes mentionnées dans le fichier de configuration après avoir installé le serveur openswan.
- Une fois la configuration effectuée, vous devez voir l’état du tunnel comme Libérer.

Installation et configuration Openswan Serveur
Dans l’autre région AWS, installez et configurez le contrôleur de domaine Active Directory et Openswan Serveur pour la connexion VPN.
- Démarrez un Amazon Linux AMI sur un VPC avec un sous-réseau public et affectez une adresse IP élastique (EIP).
- Mettez au Groupes de sécurité associés à l’entrée et à la sortie UDP 500, UDP 4500, IP 50, et IP 51.

- Activé Vérification de la source/destination dans la Openswan instance en cliquant avec le bouton droit sur le instance et en désactivant Modifier la source/destination. Chèque.

- Configurer la Tables de routage pour envoyer le trafic à autrement Sous-réseau VPC via l’interface réseau de Openswan.

Configurer les IPsec openswan:
- Installés Openswan:
#yum install openswan ––>
- Pour autoriser le trafic, désactivez ou configurez le service de pare-feu.
- Configurez le instance Linux pour acheminer le trafic en modifiant /etc/sysctl.conf.

- Saisissez la commande suivante et appuyez sur entrée pour appliquer les modifications :
#sysctl -p ––>
- Modifier la /etc/ipsec.conf fichier (en tant que racine) pour inclure des fichiers dans /etc/ipsec.d/*.conf en supprimant le ' #'caractère au début de la dernière ligne, de manière à ce qu’il se présente comme suit :
include /etc/ipsec.d/*.conf ––>
- Modifier la /etc/ipsec.secrets fichier (en tant que racine) et ajoutez la ligne suivante :
include /etc/ipsec.d/*.secrets ––>
- Suivez les étapes en fonction du fichier de configuration VPN téléchargé à partir de l’autre région.
- Créer la configuration de tunnel IPsec et établir la connectivité en ajoutant un fichier /etc/ipsec.d/vpn-aws.conf.

- Création d’un fichier de secrets pour l’échange de clés sous /etc/ipsec.d/aws.secrets:

- Démarrez IPSec/openswan :
#service ipsec start ––>
- Configurer IPSec/openswan pour qu’il démarre toujours au démarrage :
chkconfig ipsec on ––>
- Vérifiez que l’état du tunnel VPN a été établi :
#ipsec auto –status ––>

Configuration d’ePO pour la connexion à AD:
Une fois la connexion VPN établie, assurez-vous que la connexion entre ePO et Active Directory Server fonctionne. Vérifiez la connexion à l’aide du nom de domaine ou de l’adresse IP du serveur :
- Connectez-vous à la console ePO en tant que Administrator.
- Accédez à Serveurs enregistrés, puis créez un Nouveau serveur.
- Dans la Type de serveur menu de la Décrit -
- Sélectionnez Serveur LDAP.
- Spécifiez un nom unique et les détails éventuels.
- Cliquez sur Suivant.
- Saisissez le Adresse IP du serveur AD.
- Saisissez le Nom d’utilisateur et Mot de passe du serveur AD.
- Cliquez sur Tester la connexion pour vérifier la communication avec le serveur comme spécifié.
- Cliquez sur Enregistrer pour enregistrer le serveur.
