DELL EMC Unity: Як перевірити стан з'єднання LDAP і LDAPS

• Ldapsearch для перевірки з'єднання LDAP/LDAPs

 LDAP не має з'єднання Transport Layer Security, TLS, вам не потрібно передавати сертифікати LDAP.
 Для LDAPS сертифікат ldaps має бути завантажено в Unity під час налаштування LDAPS.
Для того щоб запустити команду, необхідно мати root-доступ.

 Приклад команди тестування LDAP:
   ldapsearch -x -d 1 -v -h ldap://ldapserver_name_or_IP:389 -b "CN=Користувачі,dc=peeps,dc=lab" -d "CN=Адміністратор,CN=Користувачі,DC=peeps,DC=lab" -w Пароль

Приклад для команди перевірки LDAPS:
 env LDAPTLS_CACERT=/EMC/backend/CEM/LDAPCer/serverCertificate.cer ldapsearch -x -d 1 -v -H ldaps://ldapserver_name_or_IP:636 -b "CN=Users,dc=peeps,dc=lab" -D "CN=Адміністратор,CN=Користувачі,DC=peeps,DC=lab" -w Пароль

Примітка: "LDAPTLS_CACERT" вказує, де Unity знайти сертифікат сервера. LDAP може використовувати порт 389,3268; LDAPS може використовувати 636 3269; якщо вам потрібно, щоб клієнт ввів пароль, будь ласка, використовуйте -W замість "-w Password".
 

• Процес підключення

КРОК 1# Перетворіть ім'я ldapserver на IP-адресу, надіславши запит до DNS sever або локального файлу /etc/hosts; Ви можете вказати IP-адресу, щоб обійти цей крок.
КРОК 2# Встановіть TCP-з'єднання між серверами Unity та LDAP.
КРОК 3# TLS Перевірте сторону Unity для завантаженого сертифіката в /EMC/backend/CEM/LDAPCer/serverCertificate.cer
КРОК 4# TLS-рукостискання, клієнт надсилає привітання клієнта на сервер
КРОК 5# Рукостискання TLS, сервер відповідає, надсилаючи клієнту
привітальне повідомлення сервера КРОК 6# TLS Сервер надсилає свій сертифікат клієнту для аутентифікації, клієнт перевіряє його за допомогою /EMC/backend/CEM/LDAPCer/serverCertificate.cer
КРОК 7# Сервер LDAP перевіряє прив'язку користувача та пароль, надані клієнтом

Примітка. З'єднання LDAP не має з'єднання TLS.
 

• Зразок вдалого підключення

 ldap_url_parse_ext(ldaps://123.abc.cde.com:3269)
ldap_create
ldap_url_parse_ext(ldaps://123.abc.cde.com::3269/??
Введіть пароль LDAP:
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection 1 1 0 ldap_int_open_connection

ldap_connect_to_host: TCP 123.abc.cde.com::3269
ldap_new_socket:
3 ldap_prepare_socket:
3 ldap_connect_to_host: Спроба 123.123.123:3269 <<<<<< ім'я хоста переходить на IP-адресу
ldap_pvt_connect: fd: 3 тм: -1 асинхронний:
0 спроба підключення:
сеанс<<<<<<<< TCP підключення встановлено. 
Трасування TLS: SSL_connect:Перед ініціалізацією <<<<< підключення, завантажений сертифікат перевіряється тут, без помилки, якщо сертифікат існує.
Трасування TLS: SSL_connect:SSLv2/v3 записати клієнт привіт Трасування
TLS: SSL_connect:SSLv3 читання сервера привіт Перевірка
сертифіката TLS: глибина: 2, помиляються: 0, тема: Перевірка сертифіката TLS /xxxx
: глибина: 1, помиляються: 0, тема: /C=xx/O=xxx /CN=xxxxx, емітент: /C=xx/O=xxx./CN=xxxx
Перевірка сертифіката TLS: глибина: 0, помиляються: 0, тема: /CN=xxxxxx емітент: /C=US/O=xxx./CN=xxxxxx
трасування TLS: SSL_connect:SSLv3 читання сертифіката сервера A <<<<<<перевірка сертифікатів сервера TLS
трасування: SSL_connect:SSLv3 читання обміну ключами сервера Трасування
TLS: SSL_connect:SSLv3 читає запит на сертифікат сервера Трасування
TLS: SSL_connect:SSLv3 читання сервера виконано трасування
TLS: SSL_connect:SSLv3 запис сертифіката клієнта Трасування
TLS: SSL_connect:SSLv3 запис ключа клієнта обмін
TLS-трасуванням: SSL_connect:SSLv3 зміна шифру специфікація A
TLS трасування: SSL_connect:SSLv3 запис завершено Трасування
TLS: SSL_connect:SSLv3 очищення даних
TLS: SSL_connect:SSLv3 читання завершено A
ldap_open_defconn: успішно<<<<< встановлено з'єднання з сервером LDAPS.

ldap_send_server_request ber_scanf fmt ({it) ber:
ber_scanf fmt ({i) ber:
ber_flush2: 90 байт до SD 3
ldap_result ld 0x7fd64f5a5750 msgid 1
.....................

# фільтр: (objectclass=*)
# Запит: ВСІ
#
res_errno: 0, res_error: <>, res_matched: <>                   <<<<< Пошук Bind або пошук користувача успішний. 
ldap_free_request (origid 2, msgid 2)

• Повідомлення про помилку та її вирішення

1 помилка підключення "Ім'я не знайдено":
"dap_connect_to_host: Fail Getaddrinfo: Ім'я або послуга невідомі"Будь
ласка, перевірте DNS-сервер, брандмауер, DNS-розподілювач

навантаження 2 помилка підключення "Помилка сеансу TCP":
"connect errno"
Будь ласка, перевірте порт сервера LDAP та IP-з'єднання; Підключення брандмауера

3 Помилка TLS "не можу знайти сертифікат":
"TLS: не вдалося завантажити підтвердження місцезнаходження...."Будь
ласка, перевірте, чи завантажено сертифікат сервера LDAPS чи ні

4 з'єднання Помилка TLS " Помилка привітання клієнта":
"Трасування TLS: SSL_connect:помилка в SSLv2/v3 записати клієнт привіт" Будь ласка,
перевірте підтримку сервера TLS чи ні; перевірка підключення брандмауера

5 Помилка TLS "Server Hello error""
TLS trace: SSL_connect:помилка в SSLv2/v3 прочитати сервер hello"
Будь ласка, перевірте, чи підтримує сервер TLS чи ні; перевірте помилку TLS підключення брандмауера

6 "Помилка перевірки сертифіката сертифіката":
"Перевірка сертифіката TLS: Помилка"Будь
ласка, перевірте сертифікат сервера LDAPS і знову завантажте в Unity. 

7 помилка підключення "Помилка прив'язки користувача/пароля":
"ldap_bind: Недійсні облікові дані"Будь
ласка, перевірте ім'я користувача та пароль, спробуйте той самий обліковий запис для входу в клієнтський комп'ютер.
 

• Усунення несправностей за допомогою захоплення tcpdump

  Для помилки кроку 1~6, якщо ви не можете знайти очевидну проблему, будь ласка, зафіксуйте tcpdump під час виконання команди ldapsearch, залучіть команду GNS для дослідження проблеми з підключенням.