我似乎无法使用ldaps:// url(使用默认端口号636)连接到Amazon Simple AD。我得到"连接被拒绝"。
它适用于未加密的ldap://(端口389)。
我需要在AD或VPC或安全组设置上启用某些内容吗?
动机:我认为普通的LDAP可能足够安全,因为无论如何都要通过VPC,但附加到它的软件(WSO2 Identity Server)似乎坚持使用LDAPS:
WARN {org.wso2.carbon.user.core.ldap.ActiveDirectoryUserStoreManager} - 与Active Directory的连接不安全。 Passowrd涉及更新凭证和adduser操作等操作将失败
答案 0 :(得分:2)
我已经能够通过启动接受LDAPS的本地stunnel来解决此问题,并将其再次作为LDAP传输到简单AD。
配置看起来像这样
# Service-level configuration
[ldap]
accept = 8636
connect = SimpleAD_IP:389
答案 1 :(得分:1)
似乎亚马逊根本没有启用ldaps,这些是所提到的唯一必须打开的端口,并且ssl上的ldap不在其中(对于普通目录或全局目录):
(取自admin guide)
的值在亚马逊blog上发表的评论中,声明
目前,AWS Directory Service不支持LDAP 时间。
答案 2 :(得分:0)
作为更新,LDAPS似乎现在可以使用Simple AD开箱即用,但企业Microsoft AD没有开箱即用的LDAPS
答案 3 :(得分:0)
AWS希望您使用代理进行SSL终止。你可以使用像HAProxy这样的东西。如果您想将它提供给公共网站,那么您可以使用ELB和证书。这是文档:
https://aws.amazon.com/blogs/security/how-to-configure-an-ldaps-endpoint-for-simple-ad/