Precisa de ajuda para configurar o Google Cloud Directory Sync com o AD usando LDAP seguro

Navegue suas respostas
2

Eu queria ver se alguém configurou um Google Cloud Directory Sync (GCDS, também conhecido como GADS) com o Active Directory em LDAP seguro (LDAPS). Estamos sincronizando pela porta 389 e gostaria de criptografar essa conexão, mas quando mudo para a porta 636 a conexão falha.

Estou executando a ferramenta GCDS em um servidor membro no meu domínio - é a conexão que estou tentando estabelecer na porta 636 entre os servidores externos do Google e meu controlador de domínio ou entre a ferramenta GCDS e o meu DC? E mesmo que seja entre a ferramenta GCDS e meu controlador de domínio, ele ainda exige um certificado de terceiros ou um certificado autoassinado suficiente porque o software está sendo executado em um servidor associado ao domínio? Devo executar o programa em um CD?

Se esse for um problema em que eu preciso de um certificado de terceiros, algumas orientações serão bem-vindas, pois não tenho conhecimento específico sobre certificados. Obrigado!

    
por Mike 27.05.2017 / 20:44

2 respostas

3

O Google Cloud Directory Sync é um aplicativo Java. O Java possui seu próprio conjunto de autoridades de certificação raiz confiáveis e não usa os certificados instalados no Windows. A razão pela qual a conexão TLS está falhando é porque o Java Runtime Environment instalado com o GCDS não contém o certificado raiz confiável para seu controlador de AD.

Acabei de fazer isso funcionar sozinho. Segui as instruções do Google aqui: link

A resposta curta é que você precisa exportar os certificados públicos do DC e importá-los para o armazenamento de chaves Java.

No Windows, fiz o seguinte:

No controlador de domínio

Exportar o certificado do controlador de domínio:

certutil -store My DomainController %TEMP%\dccert.cer

Se o host do GCDS não for o mesmo que o DC, mova esse arquivo para o host do GCDS.

No host do GCDS

Altere as pastas para a pasta jre onde o GCDS está instalado. Para mim foi:

cd "c:\Program Files\Google Cloud Directory Sync\jre"

O seu pode ser diferente dependendo do seu ambiente.

Instale o certificado no armazenamento de chaves Java:

bin\keytool -keystore lib\security\cacerts -storepass changeit -import -file %TEMP%\dccert.cer -alias mydc

Limpar:

del %TEMP%\dccert.cer

    
por 12.07.2017 / 16:36
0

Então, acabei de falar com o suporte do google e parece que vou mudar de direção sobre isso. Eles confirmaram que o cliente está se comunicando com segurança com os servidores do Google. Ele também disse que ativar o SSL aumentaria significativamente o tempo de sincronização. Além disso, se eu executar o cliente em um controlador de domínio e usar o 127.0.0.1, não preciso nem me preocupar em expor o tráfego em nossa rede e, mesmo assim, ele ainda estaria restrito a nossa rede de servidores privados se eu fosse executado em um servidor membro.

Então, eu provavelmente vou brincar um pouco mais para ver se consigo 636 trabalhando apenas por diversão, mas provavelmente não vou gastar muito tempo nisso, já que tenho uma boa quantidade de outras coisas. coisas para cuidar. O que é estranho é que tentei usar a ferramenta MS LDP do computador que tem o cliente GADS e se conecta ao DC na porta 636 sem problemas. Eu tenho tentado todos os tipos de combinações domínio \ nome de usuário, todos os quais se conectam bem em 389, mas depois que você alterá-lo para 636 e LDAP + SSL, ele cospe:

Inicializando ... Erro: falha na conexão Exceção: falha ao executar a consulta porque o objeto no DN base: "DC = mydomain, DC = com" está faltando ou inacessível.

Então, sim, eu não sei ao certo por que não está se conectando no 636, mas parece que eu nem quero de qualquer maneira.

    
por 29.05.2017 / 08:06

Tags

Esse deve ser o último backup do ano? Icinga: max_attempts vs max_check_attempts