LDAPs Failover AD Authentifizierung
Verfasst: 08.06.2021, 20:29
Hallo zusammen,
unsere VMware VCP7 hat eine LDAPs TCP 636 Anbindung an AD.
Es sind jeweils zwei DomainController als Quellen/Redundanz samt Zertifikate hinterlegt.
Allerdings ist es nach wie vor so, daß wenn der erste eingetragene DC
mal nicht verfügbar ist, die Auth. bzw. Login mit AD-Accounts nicht mehr funktioniert. Sprich der Failover funktioniert nicht !
Kreuztausch mit LDAP und LDAPs wurde gemacht. Ebenso primäre und sekundärer Eintrag getauscht. Macht keinen Unterschied.
Hat das jemand OHNE ADFS Infrastruktur im Einsatz ?
Macht man einen AD Join (IWA) dann funtioniert die Redundanz.
Allerdings wird IWA künftig nicht mehr unterstützt.
Deprecation of Integrated Windows Authentication Artikel (78506)
https://kb.vmware.com/s/article/78506
Thema Zertifikate;
Wegen LDAPs könnte ich noch versuchen ALLE Zertifikate (Kette) in eine
Datei zu packen und diese in der SSO Konfig zu hinterlegen.
Kann es sein, daß VMware SSO alle Zertifikate in EINER Datei
haben will ? Also DC-Zertifikate + Kette UND die Datei die Endung *.PEM
haben muss ? *.CER ist ja vom Inhalt, dasselbe (base64).
Theoretisch sollte es auch ausreichen die Intermediate CA Zertifikate einzupflegen.
VG & Merci für Infos
Andi
unsere VMware VCP7 hat eine LDAPs TCP 636 Anbindung an AD.
Es sind jeweils zwei DomainController als Quellen/Redundanz samt Zertifikate hinterlegt.
Allerdings ist es nach wie vor so, daß wenn der erste eingetragene DC
mal nicht verfügbar ist, die Auth. bzw. Login mit AD-Accounts nicht mehr funktioniert. Sprich der Failover funktioniert nicht !
Kreuztausch mit LDAP und LDAPs wurde gemacht. Ebenso primäre und sekundärer Eintrag getauscht. Macht keinen Unterschied.
Hat das jemand OHNE ADFS Infrastruktur im Einsatz ?
Macht man einen AD Join (IWA) dann funtioniert die Redundanz.
Allerdings wird IWA künftig nicht mehr unterstützt.
Deprecation of Integrated Windows Authentication Artikel (78506)
https://kb.vmware.com/s/article/78506
Thema Zertifikate;
Wegen LDAPs könnte ich noch versuchen ALLE Zertifikate (Kette) in eine
Datei zu packen und diese in der SSO Konfig zu hinterlegen.
Kann es sein, daß VMware SSO alle Zertifikate in EINER Datei
haben will ? Also DC-Zertifikate + Kette UND die Datei die Endung *.PEM
haben muss ? *.CER ist ja vom Inhalt, dasselbe (base64).
Theoretisch sollte es auch ausreichen die Intermediate CA Zertifikate einzupflegen.
VG & Merci für Infos
Andi