從本地Active Directory服務器到外部客戶端的LDAPS連接

Question

我在尋找解決Active Directory問題的方法。

環境： 試圖通過連接到位於防火牆後面的Microsoft Active Directory來驗證外部Centos 6.4網站（防火牆外部）的用戶身份。

目前，我們通過域activedirectory.website.local在我們的防火牆內使用Active Directory，並且工作正常。我們正在將部分網站遷移到外部託管的服務器，因此我們需要SSL。我們在活動目錄服務器上生成了一個自簽名ssl證書，並將ca.pem導出到了Centos服務器。

當我試圖通過在客戶端的Centos機器（位於我們的防火牆之外）的終端進行身份驗證的Active Directory，我得到一個錯誤：

TLS: hostname (firewall.website.com) does not match common name in certificate (activedirectory.website.local)

這個錯誤發生的原因是：

• 我我試圖從外部的客戶端計算機訪問我們的防火牆後面的活動目錄
• 證書中顯示「嘿，我是從 activedirectory.website.local生成的，但是你正在詢問 firewall.website.com「。

我們與一家SSL公司談到了爲.local服務器獲得商業SSL，他們說他們可以向我們出售一年一年。在那一年之後，由於某種規定，他們將無法擴展SSL。

由於網絡的複雜性，我無法更改activedirectory.website.local或firewall.website.com的域名。

我確定有人遇到了這個問題，但我目前在網上找不到任何解決方案。

所有我需要從活動目錄是用戶名和密碼登錄身份驗證。

預先感謝您！

Answer 1

第一件事，（低劣的... CACA布丹法語）你不能聲明activedirectory.website.local在/etc/hosts正確的IP地址。

我看到的另一件事是購買證書（或使用自己的CA創建自己的證書）並將其安裝在Active-Directory服務上。看看How to enable LDAP over SSL with a third-party certification authority。