一 Windows Server

1-1 安裝Active Directory網域服務

如何建置AD, 這裡不多做詳細描述, 唯設定時網域資訊要先記錄下來, 後面溝通LDAP的屬性需要。

此處填入的網域名稱同時也是整個樹系的根。

本文以快樂國小 - happy.tc.edu.tw 為範例。

1-2 安裝憑證服務

如前面所提, Windows AD 是一种LDAP的應用, 因此當AD架好時, LDAP的服務也同時啟用了。

可以在命令提示字元打以下指令

連線localhost

使用預設連接埠 389

會跑出一大堆字串, 這些訊息大致是LDAP server的相關資訊

但是根據文件, 如果想要更改密碼必須透過LDAPS (LDAP OVER SSL)

https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-adts/6e803168-f140-4d23-b2d3-c3a8ab5917d2

• 安裝憑證服務

按照預設

勾選憑證授權單位

設定憑證服務

LDAP over SSL/TLS (LDAPS) is automatically enabled when you install an Enterprise Root CA on a domain controller (although installing a CA on a domain controller is not a recommended practice).

https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx#Exporting_the_LDAPS_Certificate_and_Importing_for_use_with_AD_DS

選擇企業CA

製作根CA

設定完成後, 需要重開機。

重開機成功後, 再次呼叫ldp

改成連接localhost 連接埠: 636

出現類似以下訊息,表示LDAPS 連結成功了