臺中市雲端校務系統與Windows AD帳號整合(2)

URL Link //n.sfs.tw/13261

2019-04-27 11:28:25 By igogo

Windows Server

 

1-1 安裝Active Directory網域服務

如何建置AD, 這裡不多做詳細描述, 唯設定時網域資訊要先記錄下來, 後面溝通LDAP的屬性需要

 

 

此處填入的網域名稱同時也是整個樹系的根。

本文以快樂國小 - happy.tc.edu.tw 為範例。

 

1-2 安裝憑證服務

 

如前面所提, Windows AD 是一种LDAP的應用, 因此當AD架好時, LDAP的服務也同時啟用了。

可以在命令提示字元打以下指令

 

C:\Users\Administrator>ldp

 

 

 

 

 

 

 

連線localhost

使用預設連接埠 389

 

 

 

 

會跑出一大堆字串, 這些訊息大致是LDAP server的相關資訊

 

但是根據文件, 如果想要更改密碼必須透過LDAPS (LDAP OVER SSL)

 

https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-adts/6e803168-f140-4d23-b2d3-c3a8ab5917d2

 

 

 

 

 

 

 

 

按照預設

 

 

 

 

勾選憑證授權單位

 

 

設定憑證服務

 

 

 

 

 

 

LDAP over SSL/TLS (LDAPS) is automatically enabled when you install an Enterprise Root CA on a domain controller (although installing a CA on a domain controller is not a recommended practice).

https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx#Exporting_the_LDAPS_Certificate_and_Importing_for_use_with_AD_DS

 

 

選擇企業CA

 

 

 

製作根CA

 

 

 

 

 

 

 

設定完成後, 需要重開機

 

 

 

重開機成功後, 再次呼叫ldp

 

 

C:\Users\Administrator>ldp

 

改成連接localhost 連接埠: 636

 

 

出現類似以下訊息,表示LDAPS 連結成功了