本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# LDAP 搭配 Amazon EMR 的概觀
<a name="ldap-overview"></a>

輕量型目錄存取協定 (LDAP) 是網路管理員透過驗證公司網路內的使用者來管理和控制資料存取的軟體協定。LDAP 協定以階層式樹狀目錄結構儲存資訊。如需詳細資訊，請參閱 *LDAP.com* 上的[基本 LDAP 概念](https://ldap.com/basic-ldap-concepts/)。

在公司的網路內，許多應用程式可能會使用 LDAP 協定來驗證使用者。透過 Amazon EMR LDAP 整合，EMR 叢集能夠以原生方式將相同 LDAP 協定與新增的安全組態搭配使用。

Amazon EMR 支援兩種主要的 LDAP 協定實作：**Active Directory** 和 **OpenLDAP**。雖然其他實作也是可能的，但大多數都適用與 Active Directory 或 OpenLDAP 相同的驗證協定。

## Active Directory (AD)
<a name="ldap-ad"></a>

Active Directory (AD) 是 Microsoft 為 Windows 域網路提供的目錄服務。AD 包含在大多數 Windows Server 作業系統中，而且可以透過 LDAP 和 LDAPS 協定與用戶端通訊。對於身分驗證，Amazon EMR 會嘗試使用使用者主體名稱 (UPN) 作為辨別名稱和密碼與 AD 執行個體進行使用者繫結。UPN 使用標準格式 `username@domain_name`。

## OpenLDAP
<a name="ldap-openldap"></a>

OpenLDAP 是 LDAP 協定的免費開放原始碼實作。對於身分驗證，Amazon EMR 會嘗試使用完整域名稱 (FQDN) 作為辨別名稱和密碼與 OpenLDAP 執行個體進行使用者繫結。FQDN 使用標準格式 `username_attribute=username,LDAP_user_search_base`。通常，`username_attribute` 值是 `uid`，且 `LDAP_user_search_base` 值包含指向使用者的樹狀目錄的屬性。例如 `ou=People,dc=example,dc=com`。

LDAP 協定的其他免費的開放原始碼實作通常遵循與 OpenLDAP 類似的 FQDN 作為其使用者的辨別名稱。