启用安全 LDAP 或 LDAPS

轻量目录访问协议 (LDAP) 是用于与 Active Directory 之间读取和写入数据的标准通信协议。一些应用程序使用 LDAP 在 Active Directory 中添加、删除或搜索用户和组，或者传输凭证以便在 Active Directory 中对用户进行身份验证。每个 LDAP 通信均包括一个客户端（例如应用程序）和一个服务器（例如 Active Directory）。

默认情况下，LDAP 通信未加密。这使得恶意用户能够使用网络监控软件查看传输中的数据包。这就是许多企业安全策略通常要求组织加密所有 LDAP 通信的原因。

为了缓解这种形式的数据泄露，Microsoft AD AWS 托管提供了一个选项：你可以启用基于安全套接字层 (SSL) /传输层安全 (TLS) 的 LDAP，也称为 LDAPS。利用 LDAPS，您可以提高整个网络的安全性。您还可以通过加密支持 LDAP 的应用程序与托管 AWS Microsoft AD 之间的所有通信来满足合规性要求。

AWS 托管 Microsoft AD 在以下部署场景中为 LDAPS 提供支持：

• 服务器端 LDAPS 对商业或自行开发的 LDAP 感知型应用程序（充当 LDAP 客户端）和 AWS Managed Microsoft AD（充当 LDAP 服务器）之间的 LDAP 通信进行加密。有关更多信息，请参阅 使用 AWS Managed Microsoft AD 启用服务器端 LDAPS。

• 客户端 LDAPS 对 AWS 应用程序之间的 LDAP 通信进行加密，例如 WorkSpaces （充当 LDAP 客户端）和您的自我管理（本地）Active Directory（充当 LDAP 服务器）。有关更多信息，请参阅 使用 AWS Managed Microsoft AD 启用客户端 LDAPS。

有关保护实施的最佳做法的更多信息 Microsoft Active Directory Certificate Services，请参阅 Microsoft 文档。

主题

• 使用 AWS Managed Microsoft AD 启用服务器端 LDAPS
• 使用 AWS Managed Microsoft AD 启用客户端 LDAPS