Dell EMC Unity: So überprüfen Sie den LDAP- und LDAPS-Verbindungsstatus

• LDAP-Suche zum Testen der LDAP/LDAP-Verbindung

 LDAP verfügt über keine TLS-Verbindung (Transport Layer Security). Sie müssen keine LDAPS-Zertifikate hochladen.
 Für LDAPS muss beim Einrichten von LDAPS ein LDAPS-Zertifikat in Unity hochgeladen werden.
Um den Befehl ausführen zu können, müssen Sie über Root-Zugriff verfügen.

 Das Beispiel für den LDAP-Testbefehl:
   ldapsearch -x -d 1 -v -H ldap://ldapserver_name_or_IP:389 -b "CN=Users,dc=peeps,dc=lab" -D "CN=Administrator,CN=Users,DC=peeps,DC=lab" -w Kennwort

Beispiel für LDAPS-Testbefehl:
 env LDAPTLS_CACERT=/EMC/backend/CEM/LDAPCer/serverCertificate.cer ldapsearch -x -d 1 -v -H ldaps://ldapserver_name_or_IP:636 -b "CN=Users,dc=peeps,dc=lab" -D "CN=Administrator,CN=Users,DC=peeps,DC=lab" -w Kennworthinweis

: "LDAPTLS_CACERT" gibt an, wo das Unity-Serverzertifikat zu finden ist. LDAP kann Port 389,3268 verwenden. LDAPS kann 636,3269 verwenden; Wenn Sie möchten, dass der Kunde ein Kennwort eingibt, verwenden Sie -W anstelle von "-w Password".
 

• Verbindungsprozess

SCHRITT 1 # Lösen Sie den ldapserver-Namen in die IP-Adresse auf, indem Sie den DNS-Server oder die lokale Datei /etc/hosts abfragen. Sie können die IP-Adresse angeben, um diesen Schritt zu umgehen.
SCHRITT 2# Stellen Sie eine TCP-Verbindung zwischen Unity- und LDAP-Servern her.
SCHRITT 3# TLS Überprüfen Sie die Unity-Seite auf hochgeladenes Zertifikat in /EMC/backend/CEM/LDAPCer/serverCertificate.cer
SCHRITT 4# TLS-Handshake, der Client sendet eine Client-Begrüßungsnachricht an den Server
SCHRITT 5# TLS-Handshake, der Server antwortet, indem er eine Server-Hallo-Nachricht an den Client
sendet SCHRITT 6# TLS Der Server sendet sein Zertifikat zur Authentifizierung an den Client. Der Client prüft es mit /EMC/backend/CEM/LDAPCer/serverCertificate.cer
STEP 7# LDAP-Server prüft vom Kunden

bereitgestellte Bind-Nutzer und -Kennwort Hinweis: Die LDAP-Verbindung verfügt über keine TLS-Verbindung.
 

• Beispiel für erfolgreiche Verbindung

 ldap_url_parse_ext(ldaps://123.abc.cde.com:3269)
ldap_create
ldap_url_parse_ext(ldaps://123.abc.cde.com::3269/?? base)
LDAP-Kennwort eingeben:
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP 123.abc.cde.com::3269
ldap_new_socket:
3 ldap_prepare_socket:
3 ldap_connect_to_host: Beim Versuch von 123.123.123.123:3269 <<<<<< wird der Hostname auf die IP-Adresse
ldap_pvt_connect zurückgesetzt: fd: 3 tm: -1 asynchron:
0 Verbindungsversuch:
Verbindung erfolgreich<<<<<<<< TCP-Sitzung wird hergestellt. 
TLS-Ablaufverfolgung: SSL_connect:Upload-Zertifikat vor der Initialisierung <<<<< der Verbindung wird hier überprüft, kein Fehler, wenn ein Zertifikat vorhanden ist.
TLS-Ablaufverfolgung: SSL_connect:SSLv2/v3 write client hello Eine
TLS-Ablaufverfolgung: SSL_connect:SSLv3-Leseserver hallo Überprüfung eines
TLS-Zertifikats: Tiefe: 2, ähm: 0, Betreff: /xxxxxxxxxxxxxxxx
Überprüfung des TLS-Zertifikats: Tiefe: 1, ähm: 0, Betreff: /C=xx/O=xxx /CN=xxxxx, Aussteller: /C=xx/O=xxx./CN=xxxx
Überprüfung des TLS-Zertifikats: Tiefe: 0, ähm: 0, Betreff: /CN=xxxxxx Aussteller: /C=US/O=xxx./CN=xxxxxx
TLS-Ablaufverfolgung: SSL_connect:SSLv3 Serverzertifikat
A<<<<<< lesen Überprüfen Sie den TLS-Trace: SSL_connect:SSLv3-Serverschlüsselaustausch lesen Eine
TLS-Ablaufverfolgung: SSL_connect:SSLv3-Serverzertifikatanforderung lesen Eine
TLS-Ablaufverfolgung: SSL_connect: SSLv3-Leseserver abgeschlossen Eine
TLS-Ablaufverfolgung: SSL_connect:SSLv3-Clientzertifikat schreiben Eine
TLS-Ablaufverfolgung: SSL_connect:SSLv3-Schreib-Client-Schlüsselaustausch Eine
TLS-Ablaufverfolgung: SSL_connect:SSLv3-Schreibvorgang Spezifikation der Verschlüsselung A
TLS-Ablaufverfolgung: SSL_connect: SSLv3-Schreibvorgang abgeschlossen Eine
TLS-Ablaufverfolgung: SSL_connect:SSLv3-Datenlöschung
TLS-Trace: SSL_connect: SSLv3-Lesevorgang abgeschlossen Ein
ldap_open_defconn: <<<<< erfolgreich Eine Verbindung zum LDAPS-Server wird hergestellt.

ldap_send_server_request ber_scanf fmt ({it) ber:
ber_scanf fmt ({i) ber:
ber_flush2: 90 Byte zu SD 3
ldap_result LD 0x7fd64f5a5750 MSGgstr 1
.....................

# Filter: (objectclass=*)
# anfordern: ALL
#
res_errno: 0, res_error: <>, res_matched: <>                   <<<<< Eine Bindungssuche oder Benutzersuche ist erfolgreich. 
ldap_free_request (origid 2, msgstr 2)

• Fehlermeldung und Lösung

1 Verbindungsfehler "Name wird nicht gefunden":
"dap_connect_to_host: GetAddrInfo fehlgeschlagen: Name oder Service nicht bekannt"
Please check DNS server, firewall, DNS Load Balancer

2 connection error "TCP session error":
"connect errno"Please check LDAP server port and IP connectivity;
firewall

3 connection TLS error "cannot find certificate":
"TLS: could not load verify locations...."
Bitte prüfen, ob das LDAPS-Serverzertifikat hochgeladen ist oder nicht

4 Verbindungen TLS-Fehler " client hello error":
"TLS-Trace: SSL_connect:Fehler in SSLv2/v3 write client hello"
Bitte prüfen Sie die Serverunterstützung TLS oder nicht; überprüfen Sie die Firewall-5-Verbindung

TLS-Fehler "Server hello error"
"TLS-Trace: SSL_connect:Fehler in SSLv2/v3 read server hello"Bitte prüfen Sie,
ob der Server TLS unterstützt oder nicht; überprüfen Sie die Firewall-6-Verbindung

TLS-Fehler "certificate verify error":
"TLS-Zertifikatsüberprüfung: Fehler: "
Bitte überprüfen Sie das LDAPS-Serverzertifikat und laden Sie es erneut auf Unity hoch. 

7 Verbindungsfehler "Fehler bei Bindung von Benutzer/Kennwort":
"ldap_bind: Ungültige Zugangsdaten"
Bitte überprüfen Sie Nutzername und Kennwort und versuchen Sie es mit demselben Konto, um sich bei einem Desktop-Client des Kunden anzumelden.
 

• Troubleshooting durch Erfassen von tcpdump

  Wenn Sie bei Schritt 1~6 kein offensichtliches Problem finden können, erfassen Sie beim Ausführen des ldapsearch-Befehls ein tcpdump und beziehen Sie das GNS-Team ein, um das Verbindungsproblem zu untersuchen.