本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
先決條件
啟用用戶端 LDAPS 前,您必須符合以下要求。
在 Active Directory 中部署伺服器憑證
若要啟用用戶端 LDAPS,您需要為 Active Directory 中的每個網域控制站取得並安裝伺服器憑證。LDAP 服務將使用這些憑證接聽並自動接受來自 LDAP 用戶端的 SSL 連線。您可以使用內部 Active Directory Certificate Services (ADCS) 部署發行或從商業發行者購買的 SSL 憑證。如需 Active Directory 伺服器憑證要求的詳細資訊,請參閱 Microsoft 網站上透過 SSL 的 LDAP (LDAPS) 憑證
CA 憑證要求
用戶端 LDAPS 操作須使用憑證授權機構 (CA) 的憑證 (代表您伺服器憑證的發行者)。憑證授權機構憑證會以 Active Directory 網域控制站出示的伺服器憑證進行比對,以加密 LDAP 通訊。請注意下列 CA 憑證要求:
-
若要登錄憑證,憑證的過期日期必須在 90 天以上。
-
憑證必須是隱私權增強式郵件 (PEM) 格式。如果從 Active Directory 內部匯出 CA 憑證,選擇 base64 編碼的 X.509 (.CER) 做為匯出檔案格式。
-
每個 AD Connector 目錄最多可以儲存五 (5) 個憑證授權機構憑證。
-
不支援使用 RSASSA-PSS 簽章演算法的憑證。
網路要求
AWS 應用程式 LDAP 流量僅在 TCP 連接埠 636 上執行,不會回復到 LDAP 連接埠 389。不過,支援複寫、信任等等的 Windows LDAP 通訊將繼續使用具備 Windows 原生安全性的 LDAP 連接埠 389。將 AWS 安全群組和網路防火牆設為允許 AD Connector (傳出) 和自我管理 Active Directory (傳入) 中連接埠 636 上的 TCP 通訊。
