我正在测试 Azure AD 和 Azure AD DS,在使用 LDAP 绑定到 Azure DS 时遇到了一些问题。我在订阅中使用了默认 AD 租户,因此我获得了一个域 foo.onmicrosoft.com。然后我创建了一个与此目录同步的 ADDS。
在 Linux VM 中,我尝试使用 ldapsearch 绑定到 AD,但使用以下命令时出现“无效凭据”
ldapsearch -h <ip> -p 389 -b "dc=foo,dc=onmicrosoft,dc=com" -s sub "(objectclass=)" -D [email protected]*
然后我按照教程使用自动签名证书激活 LDAPS。使用以下 ldapsearch 命令,我收到错误“ldap_sasl_bind(SIMPLE): 无法联系 LDAP 服务器 (-1)”
ldapsearch -H ldaps://foo.onmicrosoft.com -b "dc=foo,dc=onmicrosoft,dc=com" -D [email protected]
我使用的 DN 是否正确?绑定用户语法是否正确?使用 cn=user,dc=foo,dc=onmicrosoft,dc=com 时也不起作用
LDAPS 是强制性的吗?我应该使用 AD DS IP 地址 (10.xxx) 还是安全 LDAP 外部 IP 地址 (20.xxx)?
谢谢
答案1
在 Linux VM 中,我尝试使用 ldapsearch 绑定到 AD,但使用以下命令时出现“无效凭据”
您测试的帐户很可能尚未将正确的密码哈希从 AAD 同步到 AAD DS:https://docs.microsoft.com/en-us/azure/active-directory-domain-services/tutorial-create-instance#enable-user-accounts-for-azure-ad-ds
为了确认,您可以安装跳转服务器并尝试使用凭据将 VM 加入 AAD DS 域吗?https://docs.microsoft.com/en-us/azure/active-directory-domain-services/join-windows-vm
如果这里的帐户/密码也失败,则在 AAD 上重置用户密码,并在 20 分钟后重试。
然后我按照教程使用自动签名证书激活 LDAPS。使用以下 ldapsearch 命令,我收到错误“ldap_sasl_bind(SIMPLE): 无法联系 LDAP 服务器 (-1)”
您是否为 LDAP 打开了 NSG 端口?您的测试服务器和 LDAP 端点之间是否存在实际连接?您需要启用来自互联网的 TCP 端口 636。
LDAPS 是强制性的吗?
不,但是强烈建议安装它。
我应该使用 AD DS IP 地址 (10.xxx) 还是安全 LDAP 外部 IP 地址 (20.xxx)?
这完全取决于您,但通常情况下,如果您只使用内部通信,那么就使用内部 IP 地址。如果您的客户端通过互联网连接,请使用 LDAPS。