Нужна помощь в настройке Google Cloud Directory Sync с AD с использованием безопасного LDAP
Я хотел узнать, настроил ли кто-нибудь еще Google Cloud Directory Sync (GCDS, также известный как GADS) со своей Active Directory через безопасный LDAP (LDAPS ). Мы выполняли синхронизацию через порт 389, и я хотел бы зашифровать это соединение, но когда я переключаюсь на порт 636, соединение не работает.
Я запускаю инструмент GCDS на рядовом сервере в моем домене - это соединение, которое я пытаюсь установить через порт 636 между внешними серверами Google и моим DC, или это соединение между инструментом GCDS и моим ОКРУГ КОЛУМБИЯ? И даже если он находится между инструментом GCDS и моим DC, требуется ли для него сторонний сертификат или достаточно самозаверяющего сертификата, поскольку программное обеспечение запускается на сервере, присоединенном к домену? Следует ли мне запускать программу на контроллере домена?
Если это проблема, при которой мне нужен сторонний сертификат, я буду признателен за некоторые рекомендации, поскольку я не особо разбираюсь в сертификатах. Спасибо!
Google Cloud Directory Sync - это приложение Java. Java имеет собственный набор доверенных корневых центров сертификации и не использует сертификаты, установленные в Windows. Причина сбоя соединения TLS заключается в том, что среда выполнения Java, установленная вместе с GCDS, не содержит доверенного корневого сертификата для вашего контроллера AD.
Я только что получил это самостоятельно. Я следовал инструкциям Google здесь: https://support.google.com/a/answer/3075991?hl=en
Короткий ответ заключается в том, что вам нужно экспортировать общедоступные сертификаты из DC и импортировать их в хранилище ключей Java.
В Windows я сделал следующее:
На контроллере домена
Экспортируйте сертификат с контроллера домена:
certutil -store My DomainController% TEMP% \ dccert.cer
Если хост GCDS не совпадает с DC, переместите этот файл на хост GCDS.
На хосте GCDS
Измените папки на папку jre, в которой установлен GCDS. Для меня это было:
cd "c: \ Program Files \ Google Cloud Directory Sync \ jre"
Ваш может отличаться в зависимости от вашей среды.
Установите сертификат в хранилище ключей Java:
bin \ keytool -keystore lib \ security \ cacerts -storepass changeit -import -file% TEMP% \ dccert.cer -alias mydc
Очистить:
del% TEMP% \ dccert.cer
Итак, я только что говорил со службой поддержки Google, и похоже, что я собираюсь изменить направление на этом. Они подтвердили, что клиент безопасно общается с серверами Google. Он также сказал, что включение SSL значительно увеличит время синхронизации. К тому же, если я запущу клиента на DC и использую 127.0.0.1, то мне даже не придется беспокоиться о том, чтобы разоблачить трафик в нашей сети, и даже тогда он все равно будет ограничен нашей сетью частных серверов, если я запущу его на сервере члена.
Итак, я, вероятно, поиграю с ним еще немного, чтобы посмотреть, смогу ли я заставить 636 работать просто так, но я, вероятно, не буду тратить слишком много времени на него, поскольку у меня есть много других вещей, о которых нужно позаботиться. Странно то, что я попробовал использовать инструмент MS LDP с того компьютера, на котором установлен GADS-клиент, и он без проблем подключается к моему контроллеру домена через порт 636. Я пробовал всевозможные комбинации domain\username, все они отлично соединяются на 389, но как только вы меняете его на 636 и LDAP+SSL, он выплёвывает:
Инициализация... Ошибка: Соединение не удалось Исключение: Не удалось выполнить запрос, потому что объект в Base DN: "DC=мидомен,DC=com" отсутствует или недоступен.
Так что да, я не совсем понимаю, почему он не подключается на 636, но похоже, что я все равно не хочу, чтобы он подключался.
.