LDAPs Failover AD Authentifizierung

[andreas222]

Hallo zusammen,

unsere VMware VCP7 hat eine LDAPs TCP 636 Anbindung an AD.
Es sind jeweils zwei DomainController als Quellen/Redundanz samt Zertifikate hinterlegt.

Allerdings ist es nach wie vor so, daß wenn der erste eingetragene DC
mal nicht verfügbar ist, die Auth. bzw. Login mit AD-Accounts nicht mehr funktioniert. Sprich der Failover funktioniert nicht !
Kreuztausch mit LDAP und LDAPs wurde gemacht. Ebenso primäre und sekundärer Eintrag getauscht. Macht keinen Unterschied.

Hat das jemand OHNE ADFS Infrastruktur im Einsatz ?

Macht man einen AD Join (IWA) dann funtioniert die Redundanz.
Allerdings wird IWA künftig nicht mehr unterstützt.
Deprecation of Integrated Windows Authentication Artikel (78506)
https://kb.vmware.com/s/article/78506


Thema Zertifikate;
Wegen LDAPs könnte ich noch versuchen ALLE Zertifikate (Kette) in eine
Datei zu packen und diese in der SSO Konfig zu hinterlegen.
Kann es sein, daß VMware SSO alle Zertifikate in EINER Datei
haben will ? Also DC-Zertifikate + Kette UND die Datei die Endung *.PEM
haben muss ? *.CER ist ja vom Inhalt, dasselbe (base64).

Theoretisch sollte es auch ausreichen die Intermediate CA Zertifikate einzupflegen.


VG & Merci für Infos
Andi

[Dayworker]

Hat das jemand OHNE ADFS Infrastruktur im Einsatz ?

Die Frage stellt sich im Grunde überhaupt nicht mehr, weil VMware in deinem verlinkten KB-Eintrag selber empfiehlt: "we highly recommend using AD over LDAP or Federated Identity (AD FS)"

Soweit ich Zertifikate bei VMware verstanden habe und sich mit vSphere7 nichts grundlegendes geändert hat, werden diese in einem bestimmten Format erwartet und dazu gibt es auch einen KB-Eintrag.