如何使用 ldaps 连接到 Amazon Simple AD？答案

【问题标题】：How to connect to Amazon Simple AD using ldaps?如何使用 ldaps 连接到 Amazon Simple AD？
【发布时间】：2016-03-20 15:29:01
【问题描述】：

我似乎无法使用 ldaps:// url（默认端口号 636）连接到 Amazon Simple AD。我收到“连接被拒绝”。

它适用于未加密的 ldap://（端口 389）。

我需要在 AD 或 VPC 或安全组设置上启用什么吗？

动机：我认为普通 LDAP 可能足够安全，因为它无论如何都要通过 VPC，但附加到它的软件（WSO2 身份服务器）似乎坚持使用 LDAPS：

警告 {org.wso2.carbon.user.core.ldap.ActiveDirectoryUserStoreManager} - 与 Active Directory 的连接不安全。涉及密码的操作，例如更新凭据和添加用户操作将失败

【问题讨论】：

我自己没有尝试过，但是如果您确实需要上面列出的操作，也许您可以使用openldap.org/doc/admin24/guide.html#Translucent%20Proxy 代理从 ldaps 到 ldap。这看起来也很有希望：blogs.msdn.com/b/alextch/archive/2012/04/25/…
您到底在哪里找到 URL，甚至是服务器的 IP。我还创建了一个简单的 AD 部署，但实例未显示在 EC2 中。显然它的服务器你不能这样管理......但现在我知道如何使用该目录，因为我无法访问它。

【解决方案1】：

AWS 希望您使用代理来终止 SSL。你可以使用类似 HAProxy 的东西。如果您想将它提供给公共网络，那么您可以使用带有证书的 ELB 之类的东西。这是文档：

【讨论】：

【解决方案2】：

由于更新 LDAPS 现在似乎可以与 Simple AD 一起开箱即用，但 Enterprise Microsoft AD 没有开箱即用的 LDAPS

【讨论】：

您有任何关于 AWS Simple AD 的 ldaps 支持来源吗？官方链接 still 说不支持 ldaps -docs.aws.amazon.com/directoryservice/latest/admin-guide/…“TCP/UDP 389 - LDAP；请注意 AWS Directory Service 不支持带有 SSL (LDAPS) 或 LDAP 签名的 LDAP”
这可能是一个未记录的功能。我刚刚试了一下，发现它可以在 636 上使用 SSL。

【解决方案3】：

我已经能够通过启动一个接受 LDAPS 的本地 stunnel 并将其作为 LDAP 再次通过管道输出到 Simple AD 来解决此问题。

配置看起来像这样

# Service-level configuration
[ldap]
accept  = 8636
connect = SimpleAD_IP:389

【讨论】：

【解决方案4】：

亚马逊似乎根本没有启用 ldaps，这些是提到的唯一必须打开的端口，并且 ldap over ssl 不在其中（无论是普通目录还是全局目录）：

（取自admin guide的值）

在亚马逊blog 上发表的评论中指出

目前，AWS Directory Service 不支持 LDAP 时间。

【讨论】：