Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen
Clientseitiges LDAPS mithilfe von AD Connector aktivieren - AWS Directory Service
VoraussetzungenClientseitiges LDAPS aktivieren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Clientseitiges LDAPS mithilfe von AD Connector aktivieren

PDFRSS

Die clientseitige LDAPS-Unterstützung in AD Connector verschlüsselt die Kommunikation zwischen Microsoft Active Directory (AD) und Anwendungen. AWS Beispiele für solche Anwendungen sind WorkSpaces, AWS IAM Identity Center QuickSight, Amazon und Amazon Chime. Diese Verschlüsselung hilft Ihnen, die Identitätsdaten Ihrer Organisation besser zu schützen und Ihre Sicherheitsanforderungen zu erfüllen.

Sie können auch clientseitiges LDAPS abmelden und deaktivieren.

Themen

Voraussetzungen

Bevor Sie clientseitiges LDAPS aktivieren, müssen Sie die folgenden Anforderungen erfüllen.

Serverzertifikate in Active Directory bereitstellen

Um clientseitiges LDAPS aktivieren zu können, müssen Sie Serverzertifikate für jeden Domain-Controller in Ihrem Active Directory abrufen und installieren. Diese Zertifikate werden vom LDAP-Service verwendet, um SSL-Verbindungen von LDAP-Clients zu überwachen und automatisch zu akzeptieren. Sie können SSL-Zertifikate verwenden, die entweder von einer internen Active Directory Certificate Services (ADCS)-Bereitstellung ausgestellt oder von einem kommerziellen Aussteller erworben werden. Weitere Informationen zu Active Directory-Serverzertifikatanforderungen finden Sie unter LDAP over SSL (LDAPS) Certificate auf der Microsoft-Website.

CA-Zertifikat-Anforderungen

Ein Zertifikat der Zertifizierungsstelle (Certificate Authority, CA), das den Aussteller Ihrer Serverzertifikate darstellt, ist für den clientseitigen LDAPS-Betrieb erforderlich. Zertifizierungsstellenzertifikate (CA-Zertifikate) werden mit den Serverzertifikaten abgeglichen, die von den Active-Directory-Domain-Controllern zur Verschlüsselung der LDAP-Kommunikation bereitgestellt werden. Beachten Sie die folgenden Zertifizierungsstellenzertifikat-Anforderungen:

  • Es können nur Zertifikate registriert werden, die noch mehr als 90 Tage lang gültig sind.

  • Zertifikate müssen im PEM-Format (Privacy-Enhanced Mail) vorliegen. Wenn Sie Zertifizierungsstellenzertifikate aus Active Directory exportieren, wählen Sie base64-codiertes X.509 (.CER) als Exportdateiformat aus.

  • Es können maximal fünf (5) CA-Zertifikate pro AD-Connector-Verzeichnis gespeichert werden.

  • Zertifikate, die den RSASSA-PSS-Signaturalgorithmus verwenden, werden nicht unterstützt.

Netzwerkanforderungen

AWS Der LDAP-Verkehr von Anwendungen wird ausschließlich auf TCP-Port 636 ausgeführt, ohne dass ein Fallback auf den LDAP-Port 389 erfolgt. Für die Windows LDAP-Kommunikation, die Replikation, Vertrauensstellungen und mehr unterstützt, wird jedoch weiterhin LDAP-Port 389 mit Windows-nativer Sicherheit verwendet. Konfigurieren Sie AWS Sicherheitsgruppen und Netzwerkfirewalls, um TCP-Kommunikation auf Port 636 in AD Connector (ausgehend) und selbstverwaltetem Active Directory (eingehend) zu ermöglichen.

Clientseitiges LDAPS aktivieren

Um clientseitiges LDAPS zu aktivieren, importieren Sie das Zertifikat Ihrer Zertifizierungsstelle (CA) in AD Connector und aktivieren dann LDAPS für Ihr Verzeichnis. Nach der Aktivierung wird der gesamte LDAP-Verkehr zwischen AWS Anwendungen und Ihrem selbstverwalteten Active Directory mit Secure Sockets Layer (SSL) -Kanalverschlüsselung übertragen.

Sie können zwei verschiedene Verfahren nutzen, um client-seitiges LDAPS für Ihr Verzeichnis zu aktivieren. Sie können entweder die AWS Management Console Methode oder die AWS CLI Methode verwenden.

Zertifikat wird registriert in AWS Directory Service

Verwenden Sie eine der folgenden Methoden, um ein Zertifikat in zu registrieren AWS Directory Service.

Methode 1: Um Ihr Zertifikat in AWS Directory Service (AWS Management Console) zu registrieren

  1. Wählen Sie im Navigationsbereich der AWS Directory Service -Konsole Verzeichnisse.

  2. Klicken Sie auf den Verzeichnis-ID-Link für Ihr Verzeichnis.

  3. Wählen Sie auf der Seite Directory details (Verzeichnisdetails) die Registerkarte Networking & security (Netzwerk & Sicherheit) aus.

  4. Wählen Sie im Abschnitt Client-side LDAPS (clientseitiges LDAPS) das Menü Actions (Aktionen) aus und klicken Sie dann auf Register certificate (Zertifikat registrieren).

  5. Klicken Sie im Dialogfeld Register a CA certificate (Registrieren eines CA-Zertifikats) auf die Option Browse (Durchsuchen), wählen Sie dann das Zertifikat aus und klicken Sie anschließend auf die Option Open (Öffnen).

  6. Wählen Sie die Option Register certificate (Zertifikat registrieren) aus.

Methode 2: Um Ihr Zertifikat in AWS Directory Service (AWS CLI) zu registrieren

  • Führen Sie den folgenden Befehl aus. Zeigen Sie für die Zertifikatdaten auf den Speicherort der Zertifizierungsstellen-Zertifikatdatei. In der Antwort wird eine Zertifikat-ID angegeben.

    aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path

Überprüfen Sie den Registrierungsstatus

Um sich den Status einer Zertifikatsregistrierung oder eine Liste der registrierten Zertifikate anzeigen zu lassen, nutzen Sie eines der folgenden Verfahren.

Methode 1: Um den Registrierungsstatus des Zertifikats in AWS Directory Service (AWS Management Console) zu überprüfen

  1. Gehen Sie zum Abschnitt Clientseitiges LDAPS auf der Seite Verzeichnisdetails.

  2. Überprüfen Sie den aktuellen Status der Zertifikatregistrierung, der in der Spalte Registration status (Registrierungsstatus) angezeigt wird. Wenn sich der Wert des Registrierungsstatus in Registered (Registriert) ändert, ist Ihr Zertifikat erfolgreich registriert worden.

Methode 2: Um den Status der Zertifikatsregistrierung in AWS Directory Service (AWS CLI) zu überprüfen

  • Führen Sie den folgenden Befehl aus. Wenn der Statuswert Registered zurückgegeben wird, wurde Ihr Zertifikat erfolgreich registriert.

    aws ds list-certificates --directory-id your_directory_id

Aktivierung von clientseitigem LDAPS

Verwenden Sie eine der folgenden Methoden, um clientseitiges LDAPS in zu aktivieren. AWS Directory Service

Anmerkung

Sie müssen mindestens ein Zertifikat erfolgreich registriert haben, bevor Sie das clientseitige LDAPS aktivieren können.

Methode 1: Um clientseitiges LDAPS in () zu aktivieren AWS Directory ServiceAWS Management Console

  1. Gehen Sie zum Abschnitt Clientseitiges LDAPS auf der Seite Verzeichnisdetails.

  2. Wählen Sie Enable (Aktivieren) aus. Steht diese Option nicht zur Verfügung, überprüfen Sie, ob ein gültiges Zertifikat erfolgreich registriert wurde, und versuchen Sie es dann erneut.

  3. Wählen Sie im Dialogfeld Enable client-side LDAPS (Client-seitiges LDAPS aktivieren) die Option Enable (Aktivieren).

Methode 2: Um clientseitiges LDAPS in () zu aktivieren AWS Directory ServiceAWS CLI

  • Führen Sie den folgenden Befehl aus.

    aws ds enable-ldaps --directory-id your_directory_id --type Client

Der LDAPS-Status wird überprüft

Verwenden Sie eine der folgenden Methoden, um den LDAPS-Status in zu überprüfen. AWS Directory Service

Methode 1: Um den LDAPS-Status in AWS Directory Service () zu überprüfen AWS Management Console

  1. Gehen Sie zum Abschnitt Clientseitiges LDAPS auf der Seite Verzeichnisdetails.

  2. Wenn der Statuswert als Enabled (Aktiviert) angezeigt wird, wurde das LDAPS erfolgreich konfiguriert.

Methode 2: Um den LDAPS-Status in AWS Directory Service () zu überprüfen AWS CLI

  • Führen Sie den folgenden Befehl aus. Wenn der Statuswert Enabled zurückgibt, wurde das LDAPS erfolgreich konfiguriert.

    aws ds describe-ldaps-settings –directory-id your_directory_id

Weitere Informationen zum Anzeigen Ihres clientseitigen LDAPS-Zertifikats, zum Abmelden oder Deaktivieren Ihres LDAPS-Zertifikats finden Sie unter. Clientseitiges LDAPS verwalten

Brauchen Sie Hilfe?

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.