DELL EMC Unity: LDAP 및 LDAPS 연결 상태를 확인하는 방법

• LDAP/LDAPs 연결을 테스트하기 위한 Ldapsearch

 LDAP에 TLS(Transport Layer Security) 연결이 없으므로 LDAPS 인증서를 업로드할 필요가 없습니다.
 LDAPS의 경우 LDAPS를 설정하는 동안 LDAPS 인증서를 Unity에 업로드해야 합니다.
명령을 실행하려면 루트 액세스 권한이 있어야 합니다.

 LDAP 테스트 명령의 예는 다음과 같습니다.
   ldapsearch -x -d 1 -v -H ldap://ldapserver_name_or_IP:389 -b "CN=Users,dc=peeps,dc=lab" -D "CN=Administrator,CN=Users,DC=peeps,DC=lab" -w Password

LDAPS 테스트 명령의 예:
 env LDAPTLS_CACERT=/EMC/backend/CEM/LDAPCer/serverCertificate.cer ldapsearch -x -d 1 -v -H ldaps://ldapserver_name_or_IP:636 -b "CN=Users,dc=peeps,dc=lab" -D "CN=Administrator,CN=Users,DC=peeps,DC=lab" -w Password

참고: "LDAPTLS_CACERT"는 Unity가 서버 인증서를 찾을 수 있는 위치를 나타냅니다. LDAP는 포트 389,3268을 사용할 수 있습니다. LDAPS는 636,3269를 사용할 수 있습니다. 고객이 비밀번호를 입력해야 하는 경우 "-w Password" 대신 -W를 사용하십시오.
 

• 연결 프로세스

1단계# DNS 서버 또는 로컬 파일 /etc/hosts를 쿼리하여 ldapserver 이름을 IP 주소로 확인합니다. 이 단계를 건너뛸 IP 주소를 지정할 수 있습니다.
2단계# Unity와 LDAP 서버 간에 TCP 연결을 설정합니다.
3단계# TLS Unity 측에서 /EMC/backend/CEM/LDAPCer/에 업로드된 인증서를 확인합니다serverCertificate.cer
4 단계 # TLS 핸드 셰이크, 클라이언트가 서버에
클라이언트 hello 메시지를 보냅니다. 5 단계 # TLS 핸드 셰이크, 서버는 클라이언트
에 서버 hello 메시지를 전송하여 응답합니다. 6 단계 # TLS 서버는 인증을 위해 인증서를 클라이언트에 보냅니다. 클라이언트는 /EMC/backend/CEM/LDAPCer/를 사용하여 이를 확인합니다serverCertificate.cer
7단계# LDAP 서버 확인 클라이언트가

제공한 사용자 및 암호 바인딩 참고: LDAP 연결에 TLS 연결이 없습니다.
 

• 성공적인 연결 샘플

 ldap_url_parse_ext(ldaps://123.abc.cde.com:3269)
ldap_create
ldap_url_parse_ext(ldaps://123.abc.cde.com::3269/?? 기본)
LDAP 암호 입력:
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP 123.abc.cde.com::3269
ldap_new_socket:
3 ldap_prepare_socket:
3 ldap_connect_to_host: 123.123.123.123:3269 <<<<<< 호스트 이름을 IP 주소
ldap_pvt_connect로 다시 시도합니다. 3 tm : -1 비동기:
0 연결 시도:
연결 성공<<<<<<<< TCP 세션이 설정되었습니다. 
TLS 추적: SSL_connect: 초기화 전/연결 전에 업로드된 <<<<< 인증서를 여기에서 확인합니다. 인증서가 있는 경우 오류가 발생하지 않습니다.
TLS 추적: SSL_connect:SSLv2/v3 쓰기 클라이언트 hello A
TLS 추적: SSL_connect:SSLv3 읽기 서버 hello A
TLS 인증서 확인: 깊이: 2, 오류: 0, 제목: /xxxxxxxxxxxxxxxxxxxxxx
TLS 인증서 확인: 깊이: 1, 오류: 0, 제목: /C=xx/O=xxx /CN=xxxxx, 발급자: /C=xx/O=xxx./CN=xxxx
TLS 인증서 확인: 깊이: 0, 오류: 0, 제목: /CN=xxxxxx 발급자: /C=US/O=xxx./CN=xxxxxx
TLS 추적: SSL_connect:SSLv3 읽기 서버 인증서 A <<<<<<서버 인증서
TLS 추적 확인: SSL_connect:SSLv3 읽기 서버 키 교환 TLS
추적: SSL_connect:SSLv3 읽기 서버 인증서 요청 A
TLS 추적: SSL_connect:SSLv3 읽기 서버 완료 TLS
추적: SSL_connect:SSLv3 쓰기 클라이언트 인증서 TLS
추적: SSL_connect:SSLv3 쓰기 클라이언트 키 교환 TLS
추적: SSL_connect:SSLv3 쓰기 변경 암호 사양 TLS
추적: SSL_connect:SSLv3 쓰기 완료 TLS
추적: SSL_connect:SSLv3 플러시 데이터
TLS 추적: SSL_connect:SSLv3 읽기 완료 ldap_open_defconn
:<<<<< LDAPS 서버에 성공적으로 연결되었습니다.

ldap_send_server_request ber_scanf fmt ({it) ber:
ber_scanf fmt ({i) ber:
ber_flush2: 90바이트에서 sd 3
으로 ld 0x7fd64f5a5750 msgid 1
ldap_result.....................

# 필터: (objectclass=*)
# 요청:
모두#
res_errno: 0, res_error: <>, res_matched: <>                   <<<<< 바인드 검색 또는 사용자 검색이 성공했습니다. 
ldap_free_request (Origid 2, MSGID 2)

• 오류 메시지 및 해결 방법

1 connection error "name is not found":
"dap_connect_to_host: getaddrinfo failed: Name or service not known"
Please check DNS server, firewall, DNS load balancer

2 connection error "TCP session error":
"connect errno"
Please check LDAP server port and IP connectivity; firewall

3 connection TLS error "cannot find certificate":
"TLS: couldn't load verify locations...."
Please check LDAPS server certificate is uploaded or not

4 connection TLS error " client hello error":
"TLS 추적: SSL_connect:SSLv2/v3 쓰기 클라이언트 hello 오류"
서버 지원 TLS 여부를 확인하십시오. 방화벽

5 연결 확인 TLS 오류 "server hello error"
"TLS 추적: SSL_connect:SSLv2/v3 읽기 서버 오류 hello"
서버가 TLS를 지원하는지 확인하십시오. 방화벽

6 연결 확인 TLS 오류 "인증서 확인 오류":
"TLS 인증서 확인: 오류 "
LDAPS 서버 인증서를 확인하고 Unity에 다시 업로드하십시오. 

7 connection error "Bind user/password error":
"ldap_bind: 잘못된 자격 증명"
: 사용자 이름과 비밀번호를 확인하십시오. 동일한 계정을 사용하여 고객 데스크탑 클라이언트에 로그인하십시오.
 

• tcpdump를 캡처하여 문제 해결

  1~6단계 실패의 경우 명백한 문제를 찾을 수 없는 경우 ldapsearch 명령을 실행하는 동안 tcpdump를 캡처하고 GNS 팀을 참여시켜 연결 문제를 조사하십시오.