问题标签 [aws-directory-services]

我正在评估上述三种身份管理技术，并想尝试找出优缺点，并了解何时应该使用 IdentityServer3 而不是其他技术。我有三种情况：

• 内部 MVC 客户端到 Web API
• 外部电话客户端到 Web API
• 内部 Web API 到 Web API

我刚刚开始探索 AWS 活动目录。我们公司没有 LDAP/AD 帐户。我们使用谷歌应用程序进行身份验证。我希望使用不支持谷歌应用但支持 LDAP 的应用程序。我们所有的员工都有 AWS 凭证来登录控制台。

有什么方法可以使用这些 AWS 凭证来设置简单的 AD？然后我将使用这个 AD 在 3rd 方应用程序中进行身份验证。

谢谢！！

我有一个 AD ldap.patontheback.org，我正在尝试ldap_bind使用默认管理员帐户。我可以成功使用远程桌面来管理用户的同一帐户。

哪个可以连接，但不进行身份验证：

我已经三次检查密码是否正确。我从 Windows 服务器获得的 LDAP 的 IP：

我到底错过了什么？

我正在尝试以编程方式将用户添加到 AWS Directory Service 中的“简单 AD”。确实有一个用于管理目录本身的 API（http://docs.aws.amazon.com/directoryservice/latest/devguide/API_Operations.html），但我找不到任何类似的东西来管理目录的用户。有没有办法通过 API 做到这一点？

我们有以下情况：

LDAP 客户端位于 172.50.20.0/24 子网中，AWS 的 Simple AD 位于 IP 为 172.50.20.75 的同一子网中。我将描述哪些有效，哪些无效：

什么有效：端口 53 上的 telnet 或从客户端到 AWS DS 的 LDAP 端口正在工作，并且来自位于公共子网（堡垒主机）中的另一个客户端的连接 DNS 解析可以从该服务器解析 google.it（dig @172.50.20.75 google.it）作品

什么不起作用：我们无法从位于同一子网中的 LDAP 客户端解析或联系 AWS DS。Tcpdump 显示服务器根本没有响应。iptables 被禁用，安全组被修改以允许一切。

看起来 AWS DS 正在丢弃这些请求并且根本不响应，即使通信工作正常，即 telnet 或 nmap。

我不知道该去哪里找了。我们试图实现的是客户端加入域，但在当前情况下是不可能的。

有谁知道为什么 AWS DS-Simple AD 响应和解析来自同一 VPC 中另一个子网（公共）的请求，但不响应来自同一子网的请求？

感谢您的任何意见，

马立克

我们是一家成长中的商店，没有真正的用户管理。是时候进行单点登录了。除了基本上只托管 NAS 的内部桌面服务器外，我们在 AWS 中托管所有内容。

我对 Active Directory 只是稍微熟悉了一点，因此我可以设置一个内部域并让它联合用户。我已阅读 AWS Directory Service 上的常见问题解答，只是想弄清楚它可以做什么和不能做什么。

我的目标是拥有一个可以管理 AWS 和内部用户的 AD。我不确定我是否可以在 AWS DS 中同时执行这两项操作，或者是否只是为了处理 AWS 部分。

根据常见问题解答：AWS Directory Service makes it easy for you to setup and run directories in the AWS cloud, or connect your AWS resources with an existing on-premises Microsoft Active Directory

这是否意味着即使我运行 AWS DS，我仍然需要托管一个内部 AD 并加入他们来管理 AWS 和内部的用户？我想避免必须在本地运行一个，因为我的目标是将所有内容都放入 AWS。

我在 AWS 云上的 EC2 实例上安装了几个 .net Web 应用程序。有一个使用 AWS 目录服务 (AWS Microsopft AD) 实施单点登录的要求。我确实有 AWS Microsoft AD。

现在的问题是

1. 从我可以创建用户和管理 AD 组中看不到任何地方。（文档说我需要安装另一个带有活动目录的 ec2 实例并作为客户端连接到 AWS AD）。有什么简单的方法可以做到这一点。

2. 要为 SSO 添加 .net 应用程序，我需要在 Amazon 工作区应用程序管理器中添加应用程序并创建包等，这有点复杂。我们是否有一种简单的方法来像在 Azure AD 服务中那样添加应用程序。

任何指针和文档表示赞赏。

我正在尝试使用 python 中的 boto3 库创建 Microsoft AD。我可以从 AWS 控制台创建它，但是当我尝试使用从控制台尝试时使用的相同值从脚本中创建它时，它会失败并出现以下错误：

异常响应的 HTTP 状态代码为 400。

我将访问密钥保存在本地，就像这里提到的 windows 一样，它所属的用户具有这里提到的 CreateMicrosoftAD 权限。（由于这是一个测试设置，我已授予用户完全访问权限。）

脚本如下：

我在这里为 VPC 和子网 ID 添加了模拟值，但我在控制台中验证了我正在使用可用 VPC 和子网的 ID。create_microsoft_ad 调用按照此处所述完成。

我不确定我是否缺少 IAM 用户设置或脚本中的步骤。如果我需要提供更多信息，请告诉我。谢谢！

我正在为我正在设置的 API 使用 AWS API 网关，并且我希望能够使用现有的 AWS Directory Services Directory (Microsoft AD Enterprise) 进行身份验证。

我不知道从哪里开始。

我是否需要使用自定义 lambda 函数进行身份验证，然后编写自己的 ldap 身份验证代码？

我找不到对这种场景的任何引用，即针对 AWS AD 对 API 进行身份验证。

任何指针将不胜感激。

假设我有一个 Jira 实例（或任何其他支持 SAML 的非 aws 应用程序），并且它在我的 VPC 中运行，我需要采取哪些步骤才能使用 AWS Directory Service MicrosoftAD 启用单点登录？（理想情况下，当人们尝试访问应用程序时，他们应该首先进行身份验证，并且应用程序应该能够访问他们的用户属性。）

AWS Directory Service 在其文档中表示，它已禁用 AWS Directory Service 中的 powershell 访问。这是否意味着无法以编程方式启用单点登录？