Как подключиться к Amazon Simple AD с помощью ldaps?
Я не могу подключиться к Amazon Simple AD, используя ldaps:// url (с номером порта по умолчанию 636). Я получаю "Соединение отказано".
Работает с незашифрованным ldap:// (порт 389).
Что-то мне нужно включить в настройках AD или VPC или групп безопасности?
Мотивация: Я полагаю, что простой LDAP может быть достаточно безопасным, так как он все равно проходит через VPC, но прилагаемое к нему программное обеспечение (WSO2 Identity Server), похоже, настаивает на LDAPS:
WARN {org.wso2.carbon.user.core.ldap.ActiveDirectoryUserStoreManager} - соединение с Active Directory небезопасно. Операции, связанные с Passowrd, такие как обновление учетных данных и операции adduser, завершатся неудачно
4 ответа
Я смог обойти эту проблему, запустив местный stunnel который принимает LDAPS и просто передает его снова как LDAP в Simple AD.
Конфигурация выглядит примерно так
# Service-level configuration
[ldap]
accept = 8636
connect = SimpleAD_IP:389
Кажется, что Amazon вообще не включает ldaps, это единственные упомянутые порты, которые должны быть открыты, и ldap over ssl не входит в их число (ни для обычного, ни для глобального каталога):
- ...
- TCP / UDP 389 - LDAP
- TCP 3268 - глобальный каталог
- ...
(значения взяты из руководства администратора)
В комментарии, опубликованном в блоге Amazon, говорится, что
В настоящее время LDAP не поддерживается службой каталогов AWS.
Поскольку обновление LDAPS теперь работает "из коробки" с Simple AD, корпоративная версия Microsoft AD не имеет LDAPS из коробки, хотя
AWS ожидает, что вы будете использовать прокси для завершения SSL. Вы можете использовать что-то вроде HAProxy. Если вы хотите, чтобы он был доступен для общедоступных веб-сайтов, вы должны использовать что-то вроде ELB с сертификатом. Вот документация:
https://aws.amazon.com/blogs/security/how-to-configure-an-ldaps-endpoint-for-simple-ad/