我有一个Rails的gem,做Active Directory身份validation,其testing套件有相当多的身份validation检查。 当我在局域网上运行testing套件时,一切都没有问题(正如人们所期望的那样),但我们正在考虑将我们的某个应用程序移到云服务器上,这当然意味着它将从networking外部访问DC。
我已经将LDAP Gem的副本拖放到了我们可以testing的云服务器上,并在防火墙上设置了一个端口,然后在进行设置后运行testing,但是失败了,但是如果得到你的密码错了。
我得到一个成功的login出现在DC的安全日志中,但是由于什么原因它没有将数据返回给客户端。
我有端口XXXX转发到端口389端口,我需要任何其他转发?
LDAP使用TCP 389进行不安全通信,使用636进行安全通信。
客户端通过连接到称为目录系统代理(DSA)的LDAP服务器来启动LDAP会话,默认情况下在TCP端口389上。
和
保护LDAP通信的常用备用方法是使用SSL隧道。 这通过使用URLscheme“ldaps”在LDAP URL中表示。 LDAP over SSL的默认端口是636。
就防火墙而言,您需要允许从防火墙的“外部”接口访问这些端口到“可信”接口。 如果您正在使用NAT,则可能需要在公用IP以及LAN IP上添加规则。
您不需要转发任何端口,但您需要按照以下方式进行通信:
permit tcp any xxxx 0.0.0.0 389 permit tcp any xxxx 0.0.0.0 636 如果您允许在特定端口上为您的服务器所需的任何源端口上的任何源IP。
您还应该允许任何已build立的连接,在思科设备上,它看起来像是允许任何已build立的连接,这将允许服务器的响应退出防火墙。 大多数防火墙通常默认情况下是这样build立的(以我的经验),所以如果你有专门的防火墙,这应该不成问题。