iT Notes

iT Notes

Центр обмена знаниями по различным it системам.

Публикация ldaps Active Directory

В целом, задача по публикации ldap в интернет весьма проста и делается в несколько этапов. Безусловно, подобная публикация, должна быть максимально безопасна,  будем использовать для этого LDAPS.

pub_activedirectory

Сначала, необходимо получить сертификат, делается это на доменном или любом другом CA.

Как это сделать, хорошо описано тут: https://support.microsoft.com/ru-ru/kb/321051

После проверки доступа по 636 с помощью утилиты ldp.exe, можно опубликовать ресурс в интернет.

Для части сервисов, на этом процедура завершена.

 

 

В моем же примере, я не мог подключатся к ldap, из среды windows

Причиной тому, стало различие в имени DNS, между именем локального домена и основного домена публикации.

Пример:

Интернет: ldaps.example.com
Локальная среда: ldaps.example.local

Я не мог подключится удаленно к ресурсу,
в EventLoge была ошибка:

Schannel 36884
Сертификат, полученный от удаленного сервера, не содержит ожидаемого имени. По этой причине не удается определить, к правильному ли серверу осуществляется подключение.
Ожидаемое имя сервера: ldaps.example.com. Запрос на SSL-подключение не удалось выполнить. В прилагаемых данных содержится сертификат сервера.

По данной проблеме есть уже кб от микрософта: https://support.microsoft.com/en-us/kb/2275950

Я не стал использовать данный хотфикс и решил проблему иначе, через костыль, в файле hosts =)
Просто указал A запись ресурса внутреннего домена, на ip  интернета, после чего я успешно подключился через ldp.exe и ad explorer.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

You may use these HTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">