我想看看其他人是否已经通过安全LDAP(LDAPS)与其Active Directorybuild立了Google Cloud Directory Sync(GCDS又名GADS)。 我们已经通过端口389同步,我想encryption该连接,但是当我切换到端口636连接失败。
我正在域中的成员服务器上运行GCDS工具 – 我试图在Google离线服务器和DC之间build立的端口636上build立的连接,还是GCDS工具和DC之间的连接? 即使它位于GCDS工具和我的DC之间,它是否仍然需要第三方证书,或者是足够的自签名证书,因为软件正在join域的服务器上运行? 我应该在DC上运行程序吗?
如果这是我需要第三方证书的问题,那么我将不胜感激一些指导,因为我对证书没有特别的了解。 谢谢!
Google Cloud Directory Sync是一个Java应用程序。 Java拥有自己的一组受信任的根证书颁发机构,并且不使用Windows中安装的证书。 TLS连接失败的原因是因为安装了GCDS的Java运行时环境不包含AD控制器的可信根证书。
我只是自己做这个工作。 我遵循Google的说明: https : //support.google.com/a/answer/3075991?hl = zh_CN
简而言之,您需要从DC中导出公共证书并将其导入到Java密钥库中。
在Windows上,我做了以下操作:
在域控制器上
从域控制器导出证书:
certutil -store My DomainController %TEMP%\dccert.cer
如果GCDS主机与DC不同,请将该文件移动到GCDS主机。
在GCDS主机上
将文件夹更改为安装了GCDS的jre文件夹。 对我来说是这样的:
cd "c:\Program Files\Google Cloud Directory Sync\jre"
您的环境可能会有所不同。
将证书安装到Java密钥库中:
bin\keytool -keystore lib\security\cacerts -storepass changeit -import -file %TEMP%\dccert.cer -alias mydc
清理:
del %TEMP%\dccert.cer
所以,我只是谈到谷歌的支持,看起来我要改变这个方向。 他们确认客户正在与谷歌服务器进行安全通信。 他还表示,启用SSL将大大增加同步时间。 另外,如果我在DC上运行客户端并使用127.0.0.1,那么我甚至不必担心在networking上暴露stream量,即使如此,它仍然会被限制在我们的私人服务器networking中。它在成员服务器上。
所以,我可能会多花一点时间来看看是否可以让636工作,但我可能不会花太多时间,因为我有很多其他的东西照顾。 有什么奇怪的是,我尝试使用MS LDP工具从那里有GADS客户端的计算机,它连接到我的DC在端口636没有问题。 我一直在尝试各种各样的域\用户名组合,所有这些组合都在389上连接好,但是一旦你把它改成636和LDAP + SSL,它就吐出来了:
正在初始化…错误:连接失败例外:无法执行查询,因为基础DN处的对象“DC = mydomain,DC = com”丢失或无法访问。
所以是的,我不太清楚为什么它没有连接到636,但是看起来我甚至不想要这个。