DELL EMC Unity: LDAP- ja LDAPS-yhteystilan tarkistaminen

• LDAPSEARCH-toiminto LDAP-/LDAP-yhteyden testaamiseen

 LDAP:lla ei ole Transport Layer Security (TLS) -yhteyttä, sinun ei tarvitse lähettää LDAPS-varmenteita.
 LDAPS:ää varten LDAPS-varmenne on lähetettävä Unityyn LDAPS:n käyttöönoton aikana.
Jotta voit suorittaa komennon, sinulla on oltava pääkäyttäjän oikeudet.

 Esimerkki LDAP-testikomennosta:
   ldapsearch -x -d 1 -v -H ldap://ldapserver_name_or_IP:389 -b "CN=Käyttäjät,dc=piipit,dc=lab" -D "CN=Administrator,CN=Users,DC=piippaukset,DC=lab" -w Salasana

Esimerkki LDAPS-testikomennosta:
 env LDAPTLS_CACERT=/EMC/backend/CEM/LDAPCer/serverCertificate.cer ldapsearch -x -d 1 -v -H ldaps://ldapserver_name_or_IP:636 -b "CN=Users,dc=peeps,dc=lab" -D "CN=Administrator,CN=Users,DC=peeps,DC=lab" -w Salasana

Huomautus: LDAPTLS_CACERT osoittaa, mistä Unity etsii palvelinvarmenteen. LDAP voi käyttää porttia 389,3268; LDAPS voi käyttää 636,3269; Jos haluat asiakkaan syöttävän salasanan, käytä -W-näppäintä eikä "-w Password".
 

• Yhteyden muodostaminen

VAIHE 1# Ratkaise ldapserverin nimi IP-osoitteeksi kyselemällä DNS-palvelimelta tai paikalliselta tiedostolta /etc/hosts; Voit ohittaa tämän vaiheen määrittämällä IP-osoitteen.
VAIHE 2# Muodosta TCP-yhteys Unity- ja LDAP-palvelimien välille.
VAIHE 3# TLS Tarkista Unity-puolelta ladattu varmenne / EMC / backend / CEM / LDAPCer / serverCertificate.cer
VAIHE 4# TLS-kättely, asiakas lähettää asiakkaan tervehdysviestin palvelimelle
VAIHE 5# TLS-kättely, palvelin vastaa lähettämällä palvelimen tervehdysviestin asiakkaalle
VAIHE 6# TLS Palvelin lähettää varmenteensa asiakkaalle todennusta varten, asiakas tarkistaa sen hakemistolla /EMC/backend/CEM/LDAPCer/serverCertificate.cer
VAIHE 7# LDAP-palvelimen tarkistukset Sido asiakkaan antama

käyttäjä ja salasana Huomautus: LDAP-yhteydellä ei ole TLS-yhteyttä.
 

• Esimerkki onnistuneesta yhteydestä

 ldap_url_parse_ext(ldaps://123.abc.cde.com:3269)
ldap_create
ldap_url_parse_ext(ldaps://123.abc.cde.com::3269/?? base)
Anna LDAP-salasana:
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection ldap_connect_to_host
: TCP 123.abc.cde.com::3269
ldap_new_socket:
3 ldap_prepare_socket:
3 ldap_connect_to_host: Yritetään 123.123.123.123:3269 <<<<<< isäntänimi palautetaan IP-osoitteeseen
ldap_pvt_connect: fd: 3 tm: -1 asynkroninen:
0 Trying to Connect:
Connect onnistui<<<<<<<< TCP-istunto on luotu. 
TLS-jäljitys: SSL_connect:before/connect initialization <<<<< ladattu varmenne on tarkistettu täällä, ei virhettä, jos varmenne on olemassa.
TLS-jäljitys: SSL_connect:SSLv2/v3 kirjoita asiakas hei TLS-jäljitys
: SSL_connect:SSLv3 lue palvelin hei TLS-varmenteen
vahvistus: syvyys: 2, erehdys: 0, aihe: /xxxxxxxxxxxxxxxxxxx
TLS-varmenteen vahvistus: syvyys: 1, virhe: 0, aihe: /C=xx/O=xxx /CN=xxxxx, myöntäjä: /C=xx/O=xxx./CN=xxxx
TLS-varmenteen vahvistus: syvyys: 0, erehdys: 0, aihe: /CN=xxxxxx myöntäjä: /C=US/O=xxx./CN=xxxxxx
TLS-jäljitys: SSL_connect:SSLv3 lue palvelimen varmenne A <<<<<<tarkista palvelimen varmenteet
TLS-jäljitys: SSL_connect:SSLv3 Lue palvelinavainten vaihto TLS-jäljitys
: SSL_connect:SSLv3 lue palvelimen varmennepyyntö TLS-jäljitys
: SSL_connect: SSLv3-lukupalvelin valmis TLS-jäljitys
: SSL_connect:SSLv3 kirjoittaa asiakasvarmenne TLS-jäljitys
: SSL_connect:SSLv3 kirjoittaa asiakasavaimen vaihto TLS-jäljitys
: SSL_connect:SSLv3 kirjoitusmuutoksen salauksen tekniset tiedot TLS-jäljitys
: SSL_connect:SSLv3 kirjoitus valmis TLS-jäljitys
: SSL_connect:SSLv3 Flush Data
TLS -jäljitys: SSL_connect: SSLv3 luettu valmis ldap_open_defconn
: yhteys LDAPS-palvelimeen muodostetaan onnistuneesti.
<<<<<
ldap_send_server_request ber_scanf fmt ({it) ber:
ber_scanf fmt ({i) ber:
ber_flush2: 90 tavua SD 3
:een ldap_result LD 0x7fd64f5a5750 MSGID 1
:een.....................

# suodatin: (objektiluokka=*)
# pyyntö: KAIKKI
#
res_errno: 0, res_error: <>, res_matched: <>                   <<<<< sidontahaku tai käyttäjähaku onnistuu. 
ldap_free_request (Origid 2, MSGID 2)

• Virheilmoitus ja ratkaisu

1 yhteysvirhe "nimeä ei löydy":
"dap_connect_to_host: getaddrinfo failed: Nimi tai palvelu ei ole tiedossa"
Tarkista DNS-palvelin, palomuuri, DNS-kuormituksen tasaus

2 yhteysvirhe "TCP-istunnon virhe":
"connect errno"
Tarkista LDAP-palvelimen portti ja IP-yhteys; palomuuri

3 yhteys TLS-virhe "varmennetta ei löydy":
"TLS: ei voitu ladata vahvista sijainteja...."
Tarkista LDAPS-palvelimen varmenne on ladattu tai ei

4-yhteyden TLS-virhe " client hello error":
"TLS-jäljitys: SSL_connect:error in SSLv2/v3 write client hello"
Tarkista palvelintuki TLS vai ei; tarkista palomuuri

5 yhteys TLS-virhe "server hello error"
"TLS trace: SSL_connect: virhe SSLv2 / v3: ssa lue palvelin hei"
Tarkista, tukeeko palvelin TLS: ää vai ei; tarkista palomuuri

6 -yhteys TLS-virhe "varmenteen tarkistusvirhe":
"TLS-varmenteen vahvistus: Error"
Tarkista LDAPS-palvelimen varmenne ja lataa Unityagainiin. 

7 yhteysvirhe "Bind user/password error":
"ldap_bind: Virheelliset tunnistetiedot"
Tarkista käyttäjänimi ja salasana, kokeile samaa tiliä kirjautuaksesi asiakkaan työpöytäohjelmaan.
 

• Vianmääritys tallentamalla tcpdump

  Jos et löydä ilmeistä ongelmaa vaiheen 1~6 epäonnistumisesta, sieppaa tcpdump suorittaessasi ldapsearch-komentoa, ota GNS-tiimi mukaan tutkimaan yhteysongelmaa.