Leagă LDAP la Azure Domain Services

Testez Azure AD și Azure AD DS și am câteva probleme de legat la Azure DS folosind LDAP. Am folosit chiriașul AD implicit în abonamentul meu, așa că primesc un domeniu foo.onmicrosoft.com. Apoi creez un ADDS sincronizat cu acest director.

De la o mașină virtuală Linux, am încercat să mă conectez la AD folosind ldapsearch și am primit „acreditări nevalide” cu următoarea comandă

ldapsearch -h <ip> -p 389 -b „dc=foo,dc=onmicrosoft,dc=com” -s sub „(objectclass=)” -D [email protected]*

Apoi urmez tutorialul pentru a activa LDAPS cu un certificat autosemnat. Cu următoarea comandă ldapsearch, am primit eroarea „ldap_sasl_bind(SIMPLE): Nu pot contacta serverul LDAP (-1)”

ldapsearch -H ldaps://foo.onmicrosoft.com -b "dc=foo,dc=onmicrosoft,dc=com" -D [email protected]

Folosesc DN-ul de bază bun? Și sintaxa utilizatorului de legare bună? Nu funcționează nici când folosești cn=user,dc=foo,dc=onmicrosoft,dc=com

Este LDAPS obligatoriu? Ar trebui să folosesc adresele IP AD DS (10.x.x.x) sau adresele IP externe LDAP securizate (20.x.x.x)?

Mulțumiri

De la o mașină virtuală Linux, am încercat să mă conectez la AD folosind ldapsearch și am primit „acreditări invalide” cu următoarea comandă

Cel mai probabil, contul cu care ați testat nu are încă sincronizarea corectă a parolei hash de la AAD la AAD DS: https://docs.microsoft.com/en-us/azure/active-directory-domain-services/tutorial-create-instance#enable-user-accounts-for-azure-ad-ds

Pentru a confirma, puteți instala un server Jump și puteți încerca să utilizați acreditările pentru a vă alătura VM-ului la domeniul AAD DS? https://docs.microsoft.com/en-us/azure/active-directory-domain-services/join-windows-vm

Dacă contul/parola nu reușește și aici, atunci resetați parola de utilizator pe AAD și încercați din nou după 20 de minute.

Apoi urmez tutorialul pentru a activa LDAPS cu un autosemnat certificat. Cu următoarea comandă ldapsearch, am primit eroarea „ldap_sasl_bind(SIMPLE): Nu se poate contacta serverul LDAP (-1)”

Aveți porturile NSG deschise pentru LDAP? Există conectivitate reală între serverul dvs. de testare și punctele finale LDAP? Portul TCP 636 de pe internet este ceea ce trebuie să activați.

Este LDAPS obligatoriu?

Nu, dar este foarte recomandat să-l ai la loc.

Ar trebui să folosesc adresele IP AD DS (10.x.x.x) sau LDAP securizat adrese IP externe (20.x.x.x)?

Depinde în totalitate de dvs., dar de obicei, dacă utilizați doar comunicarea internă, atunci mergeți cu adresele IP interne. utilizați LDAPS dacă aveți clienți care se conectează prin internet.

Mai multe îndrumări aici: https://docs.microsoft.com/en-us/azure/active-directory-domain-services/tutorial-configure-ldaps#configure-dns-zone-for-external-access