DELL EMC Unity: Sprawdzanie stanu połączenia LDAP i LDAPS

• Narzędzie Ldapsearch do testowania połączenia LDAP/LDAPs

 LDAP nie ma połączenia Transport Layer Security (TLS), nie trzeba przesyłać certyfikatów LDAPS
 W przypadku LDAPS podczas konfigurowania LDAPS należy przekazać certyfikat LDAPS do Unity.
Aby uruchomić polecenie, musisz mieć dostęp root.

 Przykład polecenia testowego LDAP:
   ldapsearch -x -d 1 -v -H ldap://ldapserver_name_or_IP:389 -b "CN=Użytkownicy,dc=peeps,dc=lab" -D "CN=Administrator,CN=Użytkownicy,DC=peeps,DC=lab" -w Hasło

Przykład polecenia testowego LDAPS:
 env LDAPTLS_CACERT=/EMC/backend/CEM/LDAPCer/serverCertificate.cer ldapsearch -x -d 1 -v -H ldaps://ldapserver_name_or_IP:636 -b "CN=Users,dc=peeps,dc=lab" -D "CN=Administrator,CN=Users,DC=peeps,DC=lab" -w Hasło

Uwaga: "LDAPTLS_CACERT" wskazuje, gdzie Unity znajduje certyfikat serwera. LDAP może korzystać z portu 389,3268; LDAPS może korzystać z 636,3269; jeśli chcesz, aby klient wprowadził hasło, użyj -W zamiast "-w Password".
 

• Proces podłączania

KROK 1# Rozwiąż nazwę ldapserver z adresem IP, odpytując serwer DNS lub plik lokalny /etc/hosts; Możesz określić adres IP, aby pominąć ten krok.
KROK 2# Nawiąż połączenie TCP między serwerami Unity i LDAP.
KROK 3# TLS Sprawdź stronę Unity pod kątem przesłanego certyfikatu w /EMC/backend/CEM/LDAPCer/serverCertificate.cer
KROK 4 # Uzgadnianie TLS, klient wysyła wiadomość powitalną klienta do serwera
KROK 5# Uzgadnianie TLS, serwer odpowiada, wysyłając wiadomość powitalną serwera do klienta
KROK 6# TLS Serwer wysyła swój certyfikat do klienta w celu uwierzytelnienia, klient sprawdza to za pomocą /EMC/backend/CEM/LDAPCer/serverCertificate.cer
KROK 7# Serwer LDAP sprawdza Binduj użytkownika i hasło podane przez klienta

Uwaga: Połączenie LDAP nie ma połączenia TLS.
 

• Przykład udanego połączenia

 ldap_url_parse_ext(ldaps://123.abc.cde.com:3269)
ldap_create
ldap_url_parse_ext(ldaps://123.abc.cde.com::3269/?? base)
Wprowadź hasło LDAP:
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP 123.abc.cde.com::3269
ldap_new_socket:
3 ldap_prepare_socket:
3 ldap_connect_to_host: Próbuję 123.123.123.123:3269 <<<<<< nazwa hosta jest zmieniana na adres
IP ldap_pvt_connect: fd: 3 tm: -1 asynchroniczny:
0 próba połączenia:
powodzenie <<<<<<<<połączenia Sesja TCP została ustanowiona. 
Ślad TLS: SSL_connect: tutaj sprawdzany jest wgrany certyfikat przed inicjalizacją <<<<< / połączeniem, brak błędu, jeśli certyfikat istnieje.
Ślad TLS: SSL_connect:SSLv2/v3 write client hello Ślad
TLS: SSL_connect:SSLv3 odczyt serwera hello Weryfikacja certyfikatu
TLS: głębokość: 2, błądzić: 0, temat: /xxxxxxxxxxxxxxxxxxx
Weryfikacja certyfikatu TLS: głębokość: 1, błądzić: 0, temat: /C=xx/O=xxx /CN=xxxxx, wystawca: /C=xx/O=xxx./CN=xxxx
Weryfikacja certyfikatu TLS: głębokość: 0, błądzić: 0, temat: /CN=xxxxxx wystawca: /C=US/O=xxx./CN=xxxxxx
Ślad TLS: SSL_connect:SSLv3 odczyt certyfikatu serwera A weryfikacja <<<<<<certyfikatów
serwera Śledzenie TLS: SSL_connect:Wymiana kluczy serwera odczytu SSLv3 Ślad
TLS: SSL_connect:SSLv3 żądanie certyfikatu serwera odczytu Ślad
TLS: SSL_connect:Serwer odczytu SSLv3 wykonany Ślad
TLS: SSL_connect:SSLv3 zapis certyfikatu klienta Ślad
TLS: SSL_connect: wymiana kluczy klienta zapisu SSLv3 Ślad
TLS: SSL_connect:specyfikacja szyfru zmiany zapisu SSLv3 Ślad
TLS: SSL_connect:Zakończono zapis SSLv3 Ślad
TLS: SSL_connect:Ślad TLS opróżniania danych
SSLv3: SSL_connect:Odczyt SSLv3 zakończony ldap_open_defconn
: pomyślnie<<<<< nawiązano połączenie z serwerem LDAPS.

ldap_send_server_request ber_scanf fmt ({it) ber:
ber_scanf fmt ({i) ber:
ber_flush2: 90 bajtów do SD 3
ldap_result LD 0x7fd64f5a5750 MSGID 1
.....................

# filtr: (objectclass=*)
# prośba: WSZYSTKIE
#
res_errno: 0, res_error: <>, res_matched: <>                   <<<<< Wyszukiwanie powiązania lub wyszukiwanie użytkownika zakończyło się pomyślnie. 
ldap_free_request (orygid 2, msgid 2)

• Komunikat o błędzie i rozwiązanie

1 błąd połączenia "Nie znaleziono nazwy":
"dap_connect_to_host: GetAdDrinfo nie powiodło się: Nazwa lub usługa nie jest znana"
Please check DNS server, firewall, DNS load balancer

2 connection error "TCP session error":
"connect errno"
Please check LDAP server port and IP connectivity; firewall

3 connection TLS error "cannot find certificate":
"TLS: could not load verify locations...."
Please check LDAPS server certificate is upload, or not

4 connection TLS error " client hello error":
"Ślad TLS: SSL_connect:błąd w SSLv2/v3 write client hello"
Sprawdź, czy serwer obsługuje protokół TLS, czy nie; sprawdź błąd TLS połączenia zapory

5 "błąd powitania serwera"
""Ślad TLS: SSL_connect:błąd w SSLv2/v3 odczyt serwera hello"Sprawdź, czy serwer obsługuje TLS,
czy nie; sprawdź połączenie zapory 6

Błąd TLS "błąd weryfikacji certyfikatu":
"Weryfikacja certyfikatu TLS: Błąd "
Sprawdź certyfikat serwera LDAPS i ponownie prześlij do Unity. 

7 błąd połączenia "Bind user/password error":
"ldap_bind: Invalid credentials"Sprawdź
nazwę użytkownika i hasło, spróbuj użyć tego samego konta, aby zalogować się do klienta stacjonarnego klienta.
 

• Rozwiązywanie problemów poprzez przechwytywanie tcpdump

  W przypadku niepowodzenia kroku 1~6, jeśli nie możesz znaleźć oczywistego problemu, przechwyć tcpdump podczas uruchamiania polecenia ldapsearch i zaangażuj zespół GNS w celu zbadania problemu z połączeniem.