Dell EMC Unity：LDAPおよびLDAPSの接続状態を確認する方法

• LDAP/LDAP接続をテストするためのLdapsearch

 LDAPにはTransport Layer Security (TLS)接続がないため、LDAPS証明書をアップロードする必要はありません。
LDAPSの場合、LDAPSのセットアップ中にldaps証明書をUnityにアップロードする必要があります。
コマンドを実行するには、rootアクセス権が必要です。

LDAPテスト コマンドの例は次のとおりです。
   ldapsearch -x-d 1 -v -H ldap://ldapserver_name_or_IP:389-b "CN=Users,dc=peeps,dc=lab" -D "CN=Administrator,CN=Users,DC=peeps,DC=lab" -w パスワード

LDAPSテスト コマンドの例:
 env LDAPTLS_CACERT=/EMC/backend/CEM/LDAPCer/serverCertificate.cer ldapsearch -x -d 1 -v -H ldaps://ldapserver_name_or_IP:636 -b "CN=Users,dc=peeps,dc=lab" -D "CN=Administrator,CN=Users,DC=peeps,DC=lab" -w Password

メモ: 「LDAPTLS_CACERT」は、Unityがサーバー証明書を検索する場所を示します。LDAPはポート389,3268を使用できます。LDAPS は 636,3269 を使用できます。お客様にパスワードの入力を求める場合は、「-w Password」の代わりに「-W」を使用してください。
 

• 接続プロセス

ステップ1#DNSサーバーまたはローカルファイル/etc/hostsを照会して、ldapserver名をIPアドレスに解決します。IPアドレスを指定すると、この手順をバイパスできます。
ステップ2# UnityサーバーとLDAPサーバー間のTCP接続を確立します。
ステップ3#TLSは、/EMC/backend/CEM/LDAPCer/serverCertificate.cer
にアップロードされた証明書のUnity側をチェックしますステップ4#TLSハンドシェイク、クライアントはクライアント
にClient helloメッセージを送信しますステップ5#TLSハンドシェイク、サーバーはserver helloメッセージをクライアント
に送信して応答しますステップ6#TLS サーバーは認証のために証明書をクライアントに送信し、クライアントが/EMC/backend/CEM/LDAPCer/serverCertificate.cer
で確認します。 ステップ7#LDAPサーバーは、クライアント

から提供されたバインド ユーザーとパスワードを確認します メモ: LDAP接続にTLS接続がありません。
 

• 接続の成功例

 ldap_url_parse_ext(ldaps://123.abc.cde.com:3269)
ldap_create
ldap_url_parse_ext(ldaps://123.abc.cde.com::3269/??base)
LDAPパスワードの入力:
ldap_sasl_bind ldap_send_initial_request

ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP 123.abc.cde.com::3269
ldap_new_socket:
3 ldap_prepare_socket:
3 ldap_connect_to_host: 123.123.123.123:3269 <<<<<< ホスト名を IP アドレス
ldap_pvt_connect に復元しようとしています。 fd: 注3 TM: -1 async:
0 接続試行:
接続成功<<<<<<<< TCP セッションが確立されます。
TLSトレース: SSL_connect:before/connect初期化<<<<<のアップロードされた証明書がここでチェックされます。証明書が存在する場合、エラーはありません。
TLSトレース: SSL_connect:SSLv2/v3 write client hello TLS
トレース: SSL_connect:SSLv3 read server hello TLS
証明書の検証:深さ: 2、エラー: 0、件名: /xxxxxxxxxxxxxxxxxxxxxx
TLS証明書の検証:深さ: 1、エラー: 0、件名: /C=xx/O=xxx /CN=xxxxx、発行者: /C=xx/O=xxx./CN=xxxx
TLS証明書の検証:深さ: 0、err: 0、件名: /CN=xxxxxx 発行者: /C=US/O=xxx./CN=xxxxxx
TLSトレース: SSL_connect:SSLv3 読み取りサーバー証明書 A <<<<<<サーバー証明書
の TLS トレースを確認します。SSL_connect:SSLv3 読み取りサーバー キー交換 TLS
トレース: SSL_connect: SSLv3 読み取りサーバー証明書要求
TLSトレース: SSL_connect:SSLv3読み取りサーバーが完了しました
TLSトレース: SSL_connect:SSLv3書き込みクライアント証明書TLS
トレース: SSL_connect:SSLv3書き込みクライアント キー交換 TLS
トレース: SSL_connect:SSLv3書き込み変更暗号仕様
TLSトレース: SSL_connect:SSLv3書き込み終了
TLSトレース: SSL_connect:SSLv3フラッシュデータ
TLSトレース: SSL_connect:SSLv3読み取り終了
ldap_open_defconn:LDAPSサーバーへの接続が正常に<<<<<確立されました。

ldap_send_server_request ber_scanf fmt ({it) ber:
ber_scanf fmt ({i) ber:
ber_flush2: SD 3
ldap_result LD 0x7fd64f5a5750 MSGID 1
に 90 バイト.....................

#フィルター: (objectclass=*)
#リクエスト:
すべて#
res_errno: 0、res_error: <>、res_matched: <>                   <<<<< バインド検索またはユーザー検索が成功しました。
ldap_free_request (ORIGID 2、MsGlast 2)

• エラー メッセージと解決策

1 接続エラー「名前が見つかりません」:
「dap_connect_to_host: getaddrinfo が失敗しました: 名前またはサービスが不明です "
DNSサーバー、ファイアウォール、DNSロード バランサー

を確認してください 2 接続エラー "TCP セッション エラー":
"接続エラー番号"
LDAP サーバーのポートと IP 接続を確認してください。ファイアウォール

3 接続 TLS エラー "証明書が見つかりません":
"TLS: 検証場所を読み込めませんでした ..."
LDAPS サーバー証明書がアップロードされているかどうか

を確認してください 4 接続 TLS エラー "client hello error":
「TLS トレース: SSL_connect:SSLv2/v3書き込みクライアントhelloのエラー」
サーバーのサポートTLSを確認してください。ファイアウォール

5接続のTLSエラー「server hello error」
を確認してください。SSL_connect:SSLv2 / v3のエラーはサーバーhelloを読み取ります"
サーバーがTLSをサポートしているかどうかを確認してください。ファイアウォール

6接続のTLSエラーを確認してください"certificate verify error":
"TLS証明書の検証: エラー「
LDAPSサーバー証明書を確認し、再度Unityにアップロードしてください。

7 接続エラー「バインドユーザー/パスワードエラー」:
"ldap_bind: 無効な認証情報「
ユーザー名とパスワードを確認してください。同じアカウントでお客様のデスクトップ クライアントにログインしてみてください。
 

• tcpdumpのキャプチャによるトラブルシューティング

  ステップ1~6の失敗で、明らかな問題が見つからない場合は、ldapsearchコマンドの実行中にtcpdumpを収集し、GNSチームに関与して接続の問題を調査してください。