DELL EMC Unity : Vérification de l’état de connexion LDAP et LDAPS

• Ldapsearch pour tester la connexion LDAP/LDAPs

 LDAP n’a pas de connexion TLS (Transport Layer Security), vous n’avez pas besoin de télécharger de certificats LDAPS.
 Pour LDAPS, un certificat LDAPS doit être téléchargé sur Unity lors de la configuration de LDAPS.
Pour exécuter la commande, vous devez disposer d’un accès root.

 Voici un exemple de commande de test LDAP :
   ldapsearch -x -d 1 -v -H ldap ://ldapserver_name_or_IP :389 -b « CN=Users,dc=peeps,dc=lab » -D « CN=Administrator,CN=Users,DC=peeps,DC=lab » -w Password

L’exemple de LDAPS test command :
 env LDAPTLS_CACERT=/EMC/backend/CEM/LDAPCer/serverCertificate.cer ldapsearch -x -d 1 -v -H ldaps ://ldapserver_name_or_IP :636 -b « CN=Users,dc=peeps,dc=lab » -D « CN=Administrator,CN=Users,DC=peeps,DC=lab » -w Password

Note : « LDAPTLS_CACERT » indique où trouver le certificat du serveur Unity. LDAP peut utiliser le port 389,3268 ; LDAPS peut utiliser 636,3269 ; Si vous avez besoin que le client saisisse un mot de passe, utilisez -W au lieu de « -w Password ».
 

• Processus de connexion

ÉTAPE 1 # Résolvez le nom de ldapserver en adresse IP en interrogeant le serveur DNS ou le fichier local /etc/hosts ; Vous pouvez spécifier une adresse IP pour contourner cette étape.
ÉTAPE 2 # Établissez une connexion TCP entre les serveurs Unity et LDAP.
ÉTAPE 3 # TLS Vérifiez le côté Unity pour le certificat téléchargé dans /EMC/backend/CEM/LDAPCer/serverCertificate.cer
ÉTAPE 4 # Établissement d’une liaison TLS, le client envoie un message de bonjour client au serveur
ÉTAPE 5 # Établissement d’une liaison TLS, le serveur répond en envoyant un message de bonjour au client
ÉTAPE 6 # TLS Le serveur envoie son certificat au client pour authentification, le client le vérifie avec /EMC/backend/CEM/LDAPCer/serverCertificate.cer
ÉTAPE 7# Vérifications du serveur LDAP Lier l’utilisateur et le mot de passe fournis par le client

Remarque : La connexion LDAP n’a pas de connexion TLS.
 

• Exemple de connexion réussie

 ldap_url_parse_ext(ldaps://123.abc.cde.com:3269)
ldap_create
ldap_url_parse_ext(ldaps ://123.abc.cde.com ::3269/ ?? base)
Enter LDAP Password :
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host : TCP 123.abc.cde.com ::3269
ldap_new_socket :
3 ldap_prepare_socket :
3 ldap_connect_to_host : Trying 123.123.123.123:3269 <<<<<< hostname is resovled to IP address
ldap_pvt_connect : fd : 3 tm : -1 asynchrone :
0 tentative de connexion :
réussite de la <<<<<<<<connexion La session TCP est établie. 
Trace TLS : SSL_connect : Le certificat téléchargé avant/connexion d’initialisation <<<<< est vérifié ici, pas d’erreur s’il existe un certificat.
Trace TLS : SSL_connect :SSLv2/v3 write client hello A
TLS trace : SSL_connect :SSLv3 read server hello A
TLS certificate verification : depth : 2, err : 0, subject : /xxxxxxxxxxxxxxxxxxxxxx
TLS certificate verification : depth : 1, err : 0, subject : /C=xx/O=xxx /CN=xxxxx, issuer : /C=xx/O=xxx./CN=xxxx
TLS certificate verification : depth : 0, err : 0, subject : /CN=xxxxxx issuer : /C=US/O=xxx./CN=xxxxxx
TLS trace : SSL_connect : SSLv3 read server certificate A <<<<<<verify server certificates
TLS trace : SSL_connect : Échange de clés de serveur en lecture SSLv3 Une
trace TLS : SSL_connect :SSLv3 read server certificate request A
TLS trace : SSL_connect :SSLv3 read server done A
TLS trace : SSL_connect : certificat client SSLv3 d’écriture A
Trace TLS : SSL_connect : écriture SSLv3 client key exchange A
TLS trace : SSL_connect : spécification de chiffrement de modification d’écriture SSLv3 A
Trace TLS : SSL_connect : écriture SSLv3 terminée A
TLS trace : SSL_connect :SSLv3 flush data
TLS trace : SSL_connect : lecture SSLv3 terminée Un
ldap_open_defconn : une connexion au serveur LDAPS a réussi.
<<<<<
ldap_send_server_request ber_scanf fmt ({it) ber :
ber_scanf fmt ({i) ber :
ber_flush2 : 90 octets vers SD 3
ldap_result LD 0x7fd64f5a5750 msgid 1
.....................

# filter : (objectclass=*)
# requesting : ALL#

res_errno : 0, res_error : <>, res_matched : <>                   <<<<< une recherche de liaison ou une recherche d’utilisateur a réussi. 
ldap_free_request (Origid 2, MSGID 2)

• Message d’erreur et solution

1 connection error « name is not found » :
"dap_connect_to_host : getaddrinfo failed : Name or service not known"
Please check DNS server , firewall, DNS load balancer

2 connection error « TCP session error » :
"connect errno"
Please check LDAP server port and IP connectivity ; firewall

3 connection TLS error « cannot find certificate » :
"TLS : could not load verify locations...."
Please verify LDAPS server certificate is uploaded or not

4 connection TLS error " client hello error » :
« Trace TLS : SSL_connect :error in SSLv2/v3 write client hello »
Please verify server support TLS or non ; check firewall

5 connection TLS error « server hello error"
"TLS trace : SSL_connect :error in SSLv2/v3 read server hello"
Please check if server supports TLS or non ; check firewall

6 connection TLS error « certificate verify error » :
"TLS certificate verification : Erreur «
Veuillez vérifier le certificat du serveur LDAPS et le télécharger à nouveau sur Unity. 

7 connection error « Bind user/password error » :
"ldap_bind : Informations d’identification non valides«
Veuillez vérifier le nom d’utilisateur et le mot de passe, essayez le même compte pour vous connecter à un client de bureau client.
 

• Dépannage par capture du fichier tcpdump

  Pour l’échec de l’étape 1~6, si vous ne trouvez pas de problème évident, capturez un tcpdump lors de l’exécution de la commande ldapsearch. Impliquez l’équipe GNS pour examiner le problème de connexion.