我似乎无法使用 ldaps:// url(默认端口号 636)连接到 Amazon Simple AD。我收到“连接被拒绝”。
它适用于未加密的 ldap://(端口 389)。
我需要在 AD 或 VPC 或安全组设置上启用什么吗?
动机:我认为普通 LDAP 可能足够安全,因为它无论如何都要通过 VPC,但是附加到它的软件(WSO2 身份服务器)似乎坚持使用 LDAPS:
WARN {org.wso2.carbon.user.core.ldap.ActiveDirectoryUserStoreManager} - 与 Active Directory 的连接不安全。涉及密码的操作,例如更新凭据和添加用户操作将失败
我已经能够通过启动一个stunnel接受 LDAPS 的本地程序并将其作为 LDAP 再次通过管道传输到 Simple AD 来解决这个问题。
配置看起来像这样
# Service-level configuration
[ldap]
accept = 8636
connect = SimpleAD_IP:389
AWS 希望您使用代理来终止 SSL。你可以使用类似 HAProxy 的东西。如果您想将它提供给公共网络,那么您可以使用带有证书的 ELB 之类的东西。这是文档:
https://aws.amazon.com/blogs/security/how-to-configure-an-ldaps-endpoint-for-simple-ad/
由于更新 LDAPS 现在似乎可以与 Simple AD 一起使用,但 Enterprise Microsoft AD 并没有开箱即用的 LDAPS