Dell EMC Unity: LDAP en LDAPS-verbindingsstatus controleren

• Ldapsearch om LDAP/LDAP-verbinding te testen

 LDAP heeft geen TLS-verbinding (Transport Layer Security) en u hoeft geen LDAPS-certificaten te uploaden.
 Voor LDAPS moet een LDAPS-certificaat worden geüpload naar Unity tijdens het instellen van LDAPS.
U moet roottoegang hebben om de opdracht uit te voeren.

 Het voorbeeld voor de LDAP-testopdracht:
   ldapsearch -x -d 1 -v -H ldap://ldapserver_name_or_IP:389 -b "CN=Users,dc=peeps,dc=lab" -D "CN=Administrator,CN=Users,DC=peeps,DC=lab" -w Password

Het voorbeeld voor LDAPS test command:
 env LDAPTLS_CACERT=/EMC/backend/CEM/LDAPCer/serverCertificate.cer ldapsearch -x -d 1 -v -H ldaps://ldapserver_name_or_IP:636 -b "CN=Users,dc=peeps,dc=lab" -D "CN=Administrator,CN=Users,DC=peeps,DC=lab" -w Password

Note: "LDAPTLS_CACERT" geeft aan waar Unity servercertificaten kan vinden. LDAP kan poort 389,3268 gebruiken; LDAPS kan 636,3269 gebruiken; Als u wilt dat de klant een wachtwoord invoert, gebruikt u -W in plaats van "-w Password".
 

• Verbindingsproces

STAP 1# Lost ldapserver-naam op in IP-adres door een query uit te voeren op DNS sever of lokaal bestand /etc/hosts; U kunt een IP-adres opgeven om deze stap over te slaan.
STAP 2# Breng een TCP-verbinding tot stand tussen Unity- en LDAP-servers.
STAP 3# TLS Controleer de Unity-kant op geüpload certificaat in /EMC/backend/CEM/LDAPCer/serverCertificate.cer
STAP 4# TLS-handshake, de client stuurt een hallo-bericht van de klant naar de server
STAP 5# TLS-handshake, de server reageert door een server-hallo-bericht naar de client
te sturen STAP 6# TLS De server stuurt zijn certificaat naar de client voor authenticatie, de client controleert het met /EMC/backend/CEM/LDAPCer/serverCertificate.cer
STAP 7# LDAP-servercontroles Binden van gebruiker en wachtwoord verstrekt door client

Opmerking: LDAP-verbinding heeft geen TLS-verbinding.
 

• Voorbeeld van geslaagde verbinding

 ldap_url_parse_ext(ldaps://123.abc.cde.com:3269)
ldap_create
ldap_url_parse_ext(ldaps://123.abc.cde.com::3269/?? base)
Voer het LDAP-wachtwoord in:
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP 123.abc.cde.com::3269
ldap_new_socket:
3 ldap_prepare_socket:
3 ldap_connect_to_host: Trying 123.123.123.123:3269 <<<<<< hostname is reovled to IP address
ldap_pvt_connect: fd: 3 TM: -1 async:
0 Poging om verbinding te maken:
TCP-sessie is tot stand gebracht<<<<<<<<. 
TLS trace: SSL_connect:Before/Connect initialisatie <<<<< geüpload certificaat wordt hier gecontroleerd, geen foutmelding als er een certificaat bestaat.
TLS trace: SSL_connect:SSLv2/v3 write client hello A
TLS trace: SSL_connect:SSLv3 read server hello A
TLS certificate verification : depth: 2, err: 0, subject: /xxxxxxxxxxxxxxxxxxxxxxxxx
TLS-certificaatverificatie: diepte: 1, err: 0, subject: /C=xx/O=xxx /CN=xxxxx, issuer: /C=xx/O=xxx./CN=xxxx
TLS-certificaatverificatie: diepte: 0, err: 0, subject: /CN=xxxxxx issuer: /C=US/O=xxx./CN=xxxxxx
TLS trace: SSL_connect:SSLv3 read server certificate A <<<<<<verify server certificates
TLS trace: SSL_connect:SSLv3 read server key exchange A
TLS trace: SSL_connect:SSLv3 read server certificate request A
TLS trace: SSL_connect:SSLv3 read server done A
TLS trace: SSL_connect:SSLv3 write client certificate A
TLS trace: SSL_connect:SSLv3 Write Client Key Exchange A
TLS trace: SSL_connect:SSLv3 write change cipher spec A
TLS trace: SSL_connect:SSLv3 write finished A
TLS trace: SSL_connect:SSLv3 flush data
TLS trace: SSL_connect:SSLv3 read completed A
ldap_open_defconn: successful<<<<< a connection to LDAPS server.

ldap_send_server_request ber_scanf fmt ({it) ber:
ber_scanf fmt ({i) ber:
ber_flush2: 90 bytes naar SD 3
ldap_result LD 0x7fd64f5a5750 msgid 1
.....................

# filteren: (objectclass=*)
# requesting: ALL
#
res_errno: 0, res_error: <>, res_matched: <>                   <<<<< een Bind-zoekopdracht of gebruikerszoekopdracht is geslaagd. 
ldap_free_request (Origid 2, MSGID 2)

• Foutmelding en oplossing

1 connection error "name is not found":
"dap_connect_to_host: getaddrinfo failed: Naam of service niet bekend"
Controleer DNS-server, firewall, DNS load balancer

2 verbindingsfout "TCP-sessiefout":
"connect errno"
Controleer de LDAP-serverpoort en IP-connectiviteit; firewall

3-verbinding TLS-fout "kan certificaat niet vinden":
"TLS: kon verificatielocaties niet laden...."
Controleer of LDAPS-servercertificaat is geüpload of niet

4 verbinding TLS-fout "client hello error":
"TLS trace: SSL_connect:error in SSLv2/v3 write client hello"
Please check server support TLS or not; check firewall

5 connection TLS error "server hello error"
"TLS trace: SSL_connect:error in SSLv2/v3 read server hello"
Please check if server supports TLS or not; check firewall

6 connection TLS error "certificate verify error":
"TLS certificate verification ification: Error"
Controleer het LDAPS-servercertificaat en upload het naar Unityagain. 

7 connection error "Bind user/password error":
"ldap_bind: Ongeldige referenties"
Controleer de gebruikersnaam en het wachtwoord, probeer hetzelfde account om u aan te melden bij een desktopclient van een klant.
 

• Problemen oplossen door tcpdump vast te leggen

  Als u voor stap 1~6 geen duidelijk probleem kunt vinden, leg dan een tcpdump vast tijdens het uitvoeren van de ldapsearch-opdracht. Schakel het GNS-team in om het verbindingsprobleem te onderzoeken.