我似乎无法使用ldaps:// url(默认端口号636)连接到Amazon Simple AD。我得到“拒绝连接”。如何使用ldaps连接到Amazon Simple AD?
它适用于非加密的ldap://(端口389)。
我是否需要在AD或VPC或安全组设置中启用该功能?
动机:我想简单的LDAP可能是足够安全的,因为它是通过VPC反正要去,但连接到它(WSO2的Identity Server)软件似乎坚持LDAPS:
WARN {org.wso2.carbon.user.core.ldap.ActiveDirectoryUserStoreManager} - 与Active Directory的连接不安全。 Passowrd如更新凭据和adduser的操作涉及操作将失败
好像亚马逊都不会启用LDAPS,这些都是必须要开放的,基于SSL的LDAP提到的唯一港口没有在他们中间(无论对于正常或全局编录):
(从admin guide取值)
在对亚马逊blog发表评论中指出,
的LDAP当前不与AWS目录服务在此 时间支持。
我已经能够通过启动接受LDAPS的本地stunnel解决此问题,并将其再次作为LDAP传递给Simple AD。
配置看起来像这样
# Service-level configuration
[ldap]
accept = 8636
connect = SimpleAD_IP:389
这是如何工作的?当ldaps传送到ldap时,Simple AD是否将其视为ldaps并接受设置的密码? – tarikakyol
@tarikakyol:不,简单的AD只会看到普通的LDAP。所以没有安全方面的好处(与简单AD的连接没有加密),这只是让它工作而已。 – Thilo
作为更新LDAPS似乎是现在的工作了与简单的广告框的,企业微软AD没有LDAPS开箱虽然
您是否有任何AWS Simple AD上的ldaps支持来源?官方链接*仍*表示不支持ldaps - http://docs.aws.amazon.com/directoryservice/latest/admin-guide/prereq_simple.html “TCP/UDP 389 - LDAP;请注意,AWS Directory Service会执行不支持带SSL(LDAPS)或LDAP签名的LDAP“ – Chida
它可能是一个未公开的功能。我刚刚尝试过,看到它在636上使用SSL。 – phealy3330
AWS预期您使用代理进行SSL终止。你可以使用类似HAProxy的东西。如果你想让公共网站可以使用它,那么你可以使用类似ELB这样的证书。下面是文档:
https://aws.amazon.com/blogs/security/how-to-configure-an-ldaps-endpoint-for-simple-ad/
我还没有尝试过这个自己,但也许你可以使用http://www.openldap.org/doc/admin24/guide.html#Translucent%20Proxy来代理从LDAPS到如果您真的需要上面列出的操作,请使用ldap。这看起来也很有希望:http://blogs.msdn.com/b/alextch/archive/2012/04/25/configuring-openldap-pass-through-through-authentication-to-active-directory.aspx – Marged
你究竟在哪里找到URL,甚至是服务器的IP。我还创建了一个简单的AD部署,但实例未显示在EC2中。显然它的服务器是你无法管理的,但是现在我已经知道如何使用该目录,因为我无法访问它。 –