Привязка LDAP к доменным службам Azure

Я тестирую Azure AD и Azure AD DS, и у меня есть некоторые проблемы с привязкой к Azure DS с помощью LDAP. Я использовал арендатора AD по умолчанию в своей подписке, поэтому я получил домен foo.onmicrosoft.com. Затем я создаю ADDS, синхронизированный с этим каталогом.

С виртуальной машины Linux я попытался привязаться к AD с помощью ldapsearch и получил «неверные учетные данные» с помощью следующей команды.

ldapsearch -h <ip> -p 389 -b "dc=foo,dc=onmicrosoft,dc=com" -s sub "(objectclass=)" -D user@foo.onmicrosoft.com*

Затем я следую инструкциям по активации LDAPS с автоматически подписанным сертификатом. С помощью следующей команды ldapsearch я получил сообщение об ошибке «ldap_sasl_bind (SIMPLE): не удается связаться с сервером LDAP (-1)».

ldapsearch -H ldaps://foo.onmicrosoft.com -b "dc=foo,dc=onmicrosoft,dc=com" -D user@foo.onmicrosoft.com

Использую ли я хорошее базовое DN? И хороший синтаксис привязки пользователя? Это также не работает при использовании cn=user,dc=foo,dc=onmicrosoft,dc=com

Является ли LDAPS обязательным? Должен ли я использовать IP-адреса AD DS (10.x.x.x) или внешние IP-адреса Secure LDAP (20.x.x.x)?

Спасибо

С виртуальной машины Linux я попытался привязаться к AD с помощью ldapsearch и получил «неверные учетные данные» с помощью следующей команды

Скорее всего, учетная запись, которую вы тестировали, еще не имеет правильного хэша пароля, синхронизированного из AAD в AAD DS: https://docs.microsoft.com/en-us/azure/active-directory-domain-services/tutorial-create-instance#enable-user-accounts-for-azure-ad-ds

Чтобы подтвердить, можете ли вы установить сервер перехода и попытаться использовать учетные данные для присоединения виртуальной машины к домену AAD DS? https://docs.microsoft.com/en-us/azure/active-directory-domain-services/join-windows-vm

Если учетная запись/пароль не работает и здесь, сбросьте пароль пользователя в AAD и повторите попытку через 20 минут.

Затем я следую инструкциям по активации LDAPS с помощью автоподписанного сертификат. Со следующей командой ldapsearch я получил ошибку «ldap_sasl_bind(SIMPLE): не удается связаться с сервером LDAP (-1)»

У вас открыты порты NSG для LDAP? Существует ли реальная связь между вашим тестовым сервером и конечными точками LDAP? TCP-порт 636 из Интернета — это то, что вам нужно включить.

Является ли LDAPS обязательным?

Нет, но настоятельно рекомендуется иметь его на месте.

Должен ли я использовать IP-адреса AD DS (10.x.x.x) или безопасный LDAP? внешние IP-адреса (20.x.x.x)?

Это полностью зависит от вас, но обычно, если вы используете только внутреннюю связь, используйте внутренние IP-адреса. используйте LDAPS, если у вас есть клиенты, подключающиеся через Интернет.

Еще несколько рекомендаций здесь: https://docs.microsoft.com/en-us/azure/active-directory-domain-services/tutorial-configure-ldaps#configure-dns-zone-for-external-access