我有运行 ADFS 服务器的 Windows 服务器。我想在上面连接到 ldap 服务器。我的问题是
- 运行 ADFS 服务器是否已经运行 LDAP 服务器或需要为此做任何事情?我相信它已经在运行了,因为我可以看到开放的 389 和 636 端口。
- 假设 LDAP 服务器正在运行,我试图使用 Google App Directory Sync 连接到它以获取用户列表但是我无法授权。是否有任何默认凭据可以连接?或获取 LDAP 服务器凭据的步骤?
谢谢
问问题
7040 次
2 回答
1
ADFS 服务器不是 Active Directory 服务器 - ADFS 仅扩展 Active Directory 的基础结构。端口 389 和 636 可用,因为 ADFS 支持 LDAP 和 LDAPS 协议进行通信,因此,ADFS 可以从 Active Directory 检索用户属性,还可以根据 Active Directory 对用户进行身份验证。如果您已经运行了目录服务器,则需要将其作为帐户存储添加到 ADFS 。
没有默认凭据 - 只需使用 Active Directory 存储中存在的管理帐户,如第一点所述。
于 2014-03-20T16:15:06.920 回答
1
澄清 ADFS 的术语:
- ADFS 中的帐户存储:这是 ADFS 使用某种形式的凭据(例如用户名/密码)对用户进行身份验证的帐户存储。默认情况下,ADFS 连接到 Active Directory 域服务并将其添加为无法删除的特殊帐户存储。因此,此活动目录林或其受信任子系统中的任何用户都可以向 ADFS 进行身份验证。到目前为止,ADFS 仅支持将 Active Directory 作为帐户存储,不支持其他任何内容。在 Windows Server 2016 中,它现在支持将任何符合 LDAP v3 的目录连接为帐户存储。ADFS 不打开 LDAP 端口,因为它不是 LDAP 服务器。如果 ADFS 与域控制器并置,您会看到 LDAP 端口打开。
- ADFS 中的属性存储:这是一个存储,您可以在用户验证后在其中增加有关用户的其他信息。默认情况下,ADFS 具有通过安装设置的 ADDS 的默认属性存储。除此之外,它还具有内置的适配器,可以实例化以连接到 SQL 或 ADLDS(轻量级目录服务)。它还有一个可扩展的 API,可以通过 .NET 连接到您选择的任何其他属性存储。人们连接到 Oracle/SAP 数据库、FIM 元节等。
@Srikanth:您将使用 ADFS 声明语言或 UI 使用属性存储模型查询其他数据。在 UI 中,您会在配置颁发授权规则或颁发声明规则时看到它。
希望能帮助 Sam (@MrADFS)
于 2015-07-17T19:35:37.980 回答