DELL EMC Unity: Slik kontrollerer du LDAP- og LDAPS-tilkoblingsstatus

• Ldapsearch for å teste LDAP-/LDAP-tilkoblingen

 LDAP har ingen TLS-tilkobling (Transport Layer Security), du trenger ikke å laste opp LDAPS-sertifikater.
 For LDAPS må et ldaps-sertifikat lastes opp til Unity under oppsett av LDAPS.
For å kjøre kommandoen må du ha root-tilgang.

 Eksemplet for LDAP-testkommando:
   ldapsearch -x -d 1 -v -H ldap://ldapserver_name_or_IP:389 -b "CN=Users,dc=peeps,dc=lab" -D "CN=Administrator,CN=Users,DC=peeps,DC=lab" -w Password

Eksemplet for LDAPS test command:
 env LDAPTLS_CACERT=/EMC/backend/CEM/LDAPCer/serverCertificate.cer ldapsearch -x -d 1 -v -H ldaps://ldapserver_name_or_IP:636 -b "CN=Users,dc=peeps,dc=lab" -D "CN=Administrator,CN=Users,DC=peeps,DC=lab" -w Password

Note: "LDAPTLS_CACERT" indikerer hvor Unity skal finne serversertifikatet. LDAP kan bruke port 389 3268; LDAPS kan bruke 636 3269; Hvis kunden må skrive inn passordet, bruker du -W i stedet for "-w Password".
 

• Tilkoblingsprosess

TRINN 1# Løs ldapserver-navnet til IP-adresse ved å spørre DNS-kutter eller lokal fil /etc/hosts; Du kan angi IP-adresse for å omgå dette trinnet.
TRINN 2# Opprett TCP-tilkobling mellom Unity- og LDAP-tjenere.
TRINN 3# TLS Sjekk Unity-siden for opplastet sertifikat i / EMC / backend / CEM / LDAPCer / serverCertificate.cer
TRINN 4# TLS håndtrykk, klienten sender en Client hello-melding til serveren
TRINN 5# TLS-håndtrykk, svarer serveren ved å sende en server hello-melding til klienten
TRINN 6# TLS Serveren sender sertifikatet til klienten for autentisering, klienten sjekker det med /EMC/backend/CEM/LDAPCer/serverCertificate.cer
STEP 7# LDAP server checks Bind bruker og passord levert av klient

Merk: LDAP-tilkoblingen har ingen TLS-tilkobling.
 

• Eksempel på vellykket tilkobling

 ldap_url_parse_ext(ldaps://123.abc.cde.com:3269)
ldap_create
ldap_url_parse_ext(ldaps://123.abc.cde.com::3269/?? base)
Skriv LDAP Passord:
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP 123.abc.cde.com::3269
ldap_new_socket:
3 ldap_prepare_socket:
3 ldap_connect_to_host: Prøver 123.123.123.123:3269 <<<<<< vertsnavnet er resovled til IP-adresse
ldap_pvt_connect: fd: 3 TM: -1 asynkron:
0 forsøker å koble til:
koble til vellykket <<<<<<<<TCP-økt er etablert. 
TLS-sporing: SSL_connect:before/connect initialization <<<<< uploaded certificate is checked here,no error if a certificate exists.
TLS-sporing: SSL_connect:SSLv2/v3 write client hello A
TLS trace: SSL_connect:SSLv3 read server hello A
TLS certificate verification: depth: 2, feile: 0, emne: /xxxxxxxxxx
TLS-sertifikatbekreftelse: dybde: 1, feile: 0, emne: /C=xx/O=xxx /CN=xxxxx, utsteder: /C=xx/O=xxx./CN=xxxx
TLS-sertifikatverifisering: dybde: 0, feile: 0, emne: /CN=xxxxxx utsteder: /C=US/O=xxx./CN=xxxxxx
TLS trace: SSL_connect:SSLv3 les serversertifikat A <<<<<<verify server certificates TLS
trace: SSL_connect:SSLv3 read server key exchange A
TLS trace: SSL_connect:SSLv3 read server certificate request A
TLS trace: SSL_connect:SSLv3 read server done A
TLS trace: SSL_connect:SSLv3 write client certificate A
TLS trace: SSL_connect:SSLv3 write client key exchange A
TLS-sporing: SSL_connect:SSLv3 write change cipher spec A
TLS trace: SSL_connect:SSLv3 write finished A
TLS trace: SSL_connect:SSLv3 flush data
TLS trace: SSL_connect:SSLv3 lest ferdig En
ldap_open_defconn: vellykket<<<<< opprettes en forbindelse til LDAPS-tjeneren.

ldap_send_server_request ber_scanf fmt ({it) ber:
ber_scanf fmt ({i) ber:
ber_flush2: 90 byte til SD 3
ldap_result LD 0x7fd64f5a5750 Msgid 1
.....................

# filter: (objectclass=*)
# ber om: ALLE
#
res_errno: 0, res_error: <>, res_matched: <>                   <<<<< Et bindingssøk eller brukersøk er vellykket. 
ldap_free_request (origid 2, msgid 2)

• Feilmelding og løsning

1 tilkoblingsfeil "Finner ikke navn":
"dap_connect_to_host: getaddrinfo mislyktes: Navn eller tjeneste ikke kjent"
Kontroller DNS-server, brannmur, DNS belastningsfordeling

2 tilkoblingsfeil "TCP-øktfeil":
"koble til errno"
Kontroller LDAP-serverport og IP-tilkobling; brannmur

3-tilkobling TLS-feil "finner ikke sertifikat":
"TLS: kunne ikke laste verifisere plasseringer ...."
Kontroller at LDAPS-serversertifikatet er lastet opp eller ikke

4-tilkobling TLS-feil " Client Hello Error":
"TLS-spor: SSL_connect: feil i SSLv2/v3 skriv klient hallo"
Vennligst sjekk serverstøtte TLS eller ikke; sjekk brannmur

5-tilkobling TLS-feil "server hello error"
"TLS-spor: SSL_connect: feil i SSLv2/v3 les server hei"
Vennligst sjekk om serveren støtter TLS eller ikke; sjekk brannmur

6-tilkobling TLS-feil "sertifikatbekreftelsesfeil":
"TLS-sertifikatbekreftelse: Error"
Kontroller LDAPS-serversertifikatet og last opp til Unityagain. 

7 tilkoblingsfeil "Bind bruker/passordfeil":
"ldap_bind: Ugyldig legitimasjon"
Kontroller brukernavn og passord, og prøv den samme kontoen for å logge på kundens stasjonære klient.
 

• Feilsøking ved å registrere tcpdump

  Hvis du mislykkes i trinn 1~6, hvis du ikke finner et åpenbart problem, må du fange en tcpdump mens du kjører ldapsearch-kommandoen, involvere GNS-teamet for å undersøke tilkoblingsproblemet.