DELL EMC Unity: Jak zkontrolovat stav připojení LDAP a LDAPS

• Ldapsearch pro testování připojení LDAP/LDAPs

 Protokol LDAP nemá žádné připojení TLS (Transport Layer Security), nemusíte nahrávat certifikáty LDAPS.
 V případě protokolu LDAPS je nutné při nastavování protokolu LDAPS nahrát do pole Unity certifikát LDAPS.
Abyste mohli příkaz spustit, musíte mít přístup uživatele root.

 Příklad testovacího příkazu LDAP:
   ldapsearch -x -d 1 -v -H ldap://ldapserver_name_or_IP:389 -b "CN=Uživatelé,dc=peeps,dc=lab" -D "CN=Administrator,CN=Uživatelé,DC=peeps,DC=lab" -w Heslo

Příklad testovacího příkazu LDAPS:
 env LDAPTLS_CACERT=/EMC/backend/CEM/LDAPCer/serverCertificate.cer ldapsearch -x -d 1 -v -H ldaps://ldapserver_name_or_IP:636 -b "CN=Uživatelé,dc=peeps,dc=lab" -D "CN=Administrator,CN=Uživatelé,DC=peeps,DC=lab" -w Heslo

Poznámka: "LDAPTLS_CACERT" označuje, kde Unity najít certifikát serveru. LDAP může používat port 389,3268; LDAPS může používat 636,3269; Pokud potřebujete, aby zákazník zadal heslo, použijte možnost -W namísto "-w Password".
 

• Proces připojení

KROK 1# Přeložte název ldapserveru na IP adresu dotazem na DNS server nebo místní soubor /etc/hosts; Pokud chcete tento krok obejít, můžete zadat IP adresu.
KROK 2# Navažte připojení TCP mezi servery Unity a LDAP.
KROK 3# TLS Zkontrolujte stranu Unity pro nahraný certifikát v /EMC/backend/CEM/LDAPCer/serverCertificate.cer
KROK 4# TLS handshake, klient odešle na server
zprávu Client hello KROK 5# TLS handshake, server odpoví odesláním zprávy server hello klientovi
KROK 6# TLS Server odešle svůj certifikát klientovi k ověření, klient to zkontroluje pomocí /EMC/backend/CEM/LDAPCer/serverCertificate.cer
KROK 7# Kontrola serveru LDAP Svázat uživatele a heslo poskytnuté klientem

Poznámka: Připojení LDAP nemá žádné připojení TLS.
 

• Ukázka úspěšného připojení

 ldap_url_parse_ext(ldaps://123.abc.cde.com:3269)
ldap_create
ldap_url_parse_ext(ldaps://123.abc.cde.com::3269/?? base)
Enter LDAP Password:
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP 123.abc.cde.com::3269
ldap_new_socket:
3 ldap_prepare_socket:
3 ldap_connect_to_host: Při pokusu o 123.123.123.123:3269 <<<<<< je název hostitele znovu nastaven na IP adresu
ldap_pvt_connect: fd: 3 TM: -1 asynchronní:
0 Pokus o připojení:
připojení bylo úspěšné<<<<<<<<, relace TCP je navázána. 
Trasování TLS: SSL_connect:Before/Connect inicializace <<<<< nahraný certifikát je zde zaškrtnut,žádná chyba, pokud certifikát existuje.
Trasování TLS: SSL_connect:SSLv2/v3 write client hello Trasování
TLS: SSL_connect: SSLv3 read server hello Ověření
certifikátu TLS: hloubka: 2, chyba: 0, předmět: /xxxxxxxxxxxxxxxxxxxxxx
Ověření certifikátu TLS: hloubka: 1, chyba: 0, předmět: /C=xx/O=xxx /CN=xxxxx, emitent: /C=xx/O=xxx./CN=xxxx
Ověření certifikátu TLS: hloubka: 0, chyba: 0, předmět: /CN=xxxxxx emitent: /C=US/O=xxx./CN=xxxxxx
Trasování TLS: SSL_connect: SSLv3 čtení certifikátu serveru A <<<<<<ověření trasování TLS certifikátů
serveru: SSL_connect: Výměna klíčů serveru pro čtení SSLv3 Trasování
TLS: SSL_connect: SSLv3 read server certificate request Trasování
TLS: SSL_connect: Čtecí server SSLv3 je hotov Trasování
TLS: SSL_connect: SSLv3 zápis klientského certifikátu Trasování
TLS: SSL_connect: SSLv3 write výměna klíčů klienta trasování
TLS: SSL_connect: SSLv3 specifikace šifry pro změnu zápisu Trasování
TLS: SSL_connect: Zápis SSLv3 byl dokončen Trasování
TLS: SSL_connect: SSLv3 vyprázdnění dat
trasování TLS: SSL_connect: Čtení SSLv3 bylo dokončeno A
ldap_open_defconn: úspěšně <<<<< je navázáno spojení se serverem LDAPS.

ldap_send_server_request ber_scanf fmt ({it) ber:
ber_scanf fmt ({i) ber:
ber_flush2: 90 bajtů na SD 3
ldap_result LD 0x7fd64f5a5750 msgstr 1
.....................

# filtr: (objectclass=*)
# požadavek: ALL#

res_errno: 0, res_error: <>, res_matched: <>                   <<<<< Hledání vazby nebo vyhledávání uživatelů je úspěšné. 
ldap_free_request (Origid 2, 2. msgstr)

• Chybová zpráva a její řešení

1 chyba připojení "název není nalezen":
"dap_connect_to_host: GetAddrinfo se nezdařilo: Název nebo služba nejsou známy"
Zkontrolujte prosím DNS server, firewall, DNS load balancer

2 chyba připojení "TCP session error":
"connect errno"Zkontrolujte port LDAP serveru a IP konektivitu;


firewall 3 připojení TLS chyba "cannot find certificate":
"TLS: nelze načíst ověření umístění...."
Zkontrolujte prosím certifikát serveru LDAPS je nahraný nebo ne

4 connection TLS error " client hello error":
"Trasování TLS: SSL_connect: chyba v SSLv2/v3 write client hello"
Zkontrolujte prosím podporu serveru TLS nebo ne; zkontrolujte chybu TLS připojení brány firewall

5 "chyba hello serveru"
"Trasování TLS: SSL_connect:chyba v SSLv2/v3 read server hello"Zkontrolujte prosím,
zda server podporuje TLS nebo ne; zkontrolujte bránu firewall

6 připojení TLS chyba "certificate verify error":
"Ověření certifikátu TLS: Chyba"
Zkontrolujte certifikát serveru LDAPS a znovu jej nahrajte do Unity. 

7 chyba připojení "Chyba vazby uživatele/hesla":
"ldap_bind: Neplatné přihlašovací údaje"
Zkontrolujte uživatelské jméno a heslo a zkuste použít stejný účet pro přihlášení do desktopového klienta zákazníka.
 

• Řešení potíží zachycením protokolu tcpdump

  Pokud v případě selhání kroku 1~6 nemůžete najít zřejmý problém, zachyťte tcpdump při spuštění příkazu ldapsearch a zapojte tým GNS, aby prozkoumal problém s připojením.