DELL EMC Unity: Sådan kontrolleres LDAP- og LDAPS-forbindelsestilstand

• Ldapsearch til test af LDAP/LDAP-forbindelse

 LDAP har ingen TLS-forbindelse (Transport Layer Security), og du behøver ikke at overføre LDAPS-certifikater.
 For LDAPS skal et LDAPS-certifikat uploades til Unity, mens LDAPS konfigureres.
For at køre kommandoen skal du have root-adgang.

 Eksemplet for LDAP-testkommando:
   ldapsearch -x -d 1 -v -H ldap://ldapserver_name_or_IP:389 -b "CN=Users,dc=peeps,dc=lab" -D "CN=Administrator,CN=Users,DC=peeps,DC=lab" -w Password

Eksemplet på LDAPS-testkommando:
 env LDAPTLS_CACERT=/EMC/backend/CEM/LDAPCer/serverCertificate.cer ldapsearch -x -d 1 -v -H ldaps://ldapserver_name_or_IP:636 -b "CN=Users,dc=peeps,dc=lab" -D "CN=Administrator,CN=Users,DC=peeps,DC=lab" -w Password

Bemærk: "LDAPTLS_CACERT" angiver, hvor Unity skal finde servercertifikatet. LDAP kan bruge port 389.3268; LDAPS kan bruge 636.3269; Hvis du har brug for, at kunden indtaster adgangskoden, skal du bruge -W i stedet for "-w adgangskode".
 

• Tilslutningsproces

TRIN 1# Løs ldapservernavn til IP-adresse ved at forespørge DNS-sever eller lokal fil / etc / hosts; Du kan angive IP-adresse for at omgå dette trin.
TRIN 2# Opret TCP-forbindelse mellem Unity- og LDAP-servere.
TRIN 3# TLS Kontroller Unity-siden for uploadet certifikat i /EMC/backend/CEM/LDAPCer/serverCertificate.cer
TRIN 4# TLS-håndtryk, klienten sender en klienthej-besked til serveren
TRIN 5# TLS-håndtryk, serveren reagerer ved at sende en server hej-besked til klienten
TRIN 6# TLS Serveren sender sit certifikat til klienten til godkendelse, klienten kontrollerer det med /EMC/backend/CEM/LDAPCer/serverCertificate.cer
TRIN 7# LDAP-server kontrollerer Bind bruger og adgangskode leveret af klienten

Bemærk: LDAP-forbindelse har ingen TLS-forbindelse.
 

• Eksempel på vellykket forbindelse

 ldap_url_parse_ext(ldaps://123.abc.cde.com:3269)
ldap_create
ldap_url_parse_ext(ldaps://123.abc.cde.com::3269/?? base)
Indtast LDAP-adgangskode:
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP-123.abc.cde.com::3269
ldap_new_socket:
3 ldap_prepare_socket:
3 ldap_connect_to_host: Forsøger 123.123.123.123:3269 <<<<<< værtsnavn er resovled til IP-adresse
ldap_pvt_connect: fd: 3 TM: -1 asynkron:
0 forsøg på at oprette forbindelse:Opret forbindelse,
TCP-sessionen<<<<<<<< er etableret. 
TLS-sporing: SSL_connect:før/tilslut initialisering <<<<< uploadet certifikat er markeret her, ingen fejl, hvis der findes et certifikat.
TLS-sporing: SSL_connect:SSLv2/v3 skriv klient hej En
TLS-sporing: SSL_connect: SSLv3 læse server hej A
TLS certifikat verifikation: dybde: 2, fejl: 0, emne: /xxxxxxxxxxxxxx
TLS-certifikatverificering: dybde: 1, fejl: 0, emne: /C=xx/O=xxx /CN=xxxx, udsteder: /C=xx/O=xxx./CN=xxxx
TLS-certifikatverifikation: dybde: 0, fejl: 0, emne: /CN=xxxxxx udsteder: /C=US/O=xxx./CN=xxxxxx
TLS-sporing: SSL_connect:SSLv3 læse servercertifikat A <<<<<<verificere servercertifikater
TLS-sporing: SSL_connect: SSLv3 læse server nøgle udveksling En
TLS-sporing: SSL_connect:SSLv3 læse servercertifikatanmodning En
TLS-sporing: SSL_connect:SSLv3 læseserver udført En
TLS-sporing: SSL_connect:SSLv3 skrive klientcertifikat Et
TLS-spor: SSL_connect: SSLv3 skrive klient nøgle udveksling En
TLS-sporing: SSL_connect: SSLv3 skrive ændring cipher spec En
TLS sporing: SSL_connect:SSLv3 skriv færdig En
TLS-sporing: SSL_connect:SSLv3 tøm data
TLS-sporing: SSL_connect:SSLv3 læst færdig En
ldap_open_defconn:<<<<< Der oprettes forbindelse til LDAPS-serveren.

ldap_send_server_request ber_scanf FMT ({IT) BER:
ber_scanf FMT ({I) BER:
ber_flush2: 90 byte til SD 3
ldap_result LD 0x7fd64f5a5750 MSGID 1
.....................

# filter: (objectclass=*)
# anmoder om: ALLE
#
res_errno: 0, res_error: <>, res_matched: <>                   <<<<< En Bind-søgning eller brugersøgning lykkes. 
ldap_free_request (origid 2, msgid 2)

• Fejlmeddelelse og løsning

1 Forbindelsesfejlen "Navnet blev ikke fundet":
"dap_connect_to_host: GetAddrinfo mislykkedes: Navn eller tjeneste ikke kendt"
Kontroller DNS-server, firewall, DNS load balancer

2-forbindelsesfejl "TCP-sessionsfejl":
"tilslut errno"
Kontroller LDAP-serverport og IP-forbindelse; firewall

3-forbindelse TLS-fejl "kan ikke finde certifikat":
"TLS: kunne ikke indlæse bekræfte placeringer...."
Kontroller LDAPS-servercertifikatet er uploadet eller ej

4 forbindelse TLS-fejl " klient hej fejl":
"TLS-sporing: SSL_connect: fejl i SSLv2 / v3 skriv klient hej"
Kontroller serversupport TLS eller ej; tjek firewall

5-forbindelse TLS-fejl "server hej fejl"
"TLS-sporing: SSL_connect: fejl i SSLv2 / v3 læs server hej "
Kontroller, om serveren understøtter TLS eller ej; kontroller firewall

6-forbindelse TLS-fejl "certifikatbekræftelsesfejl":
"TLS-certifikatverifikation: Fejl"
Kontroller LDAPS-servercertifikatet, og upload til Unityigen. 

7 forbindelsesfejlen "Bind bruger-/adgangskodefejl":
"ldap_bind: Ugyldige legitimationsoplysninger"
Kontroller brugernavn og adgangskode, prøv den samme konto for at logge ind på en kundes desktopklient.
 

• Fejlfinding ved at registrere tcpdump

  For trin 1~6-fejl, hvis du ikke kan finde et åbenlyst problem, skal du fange en tcpdump, mens du kører ldapsearch-kommandoen, involvere GNS-teamet for at undersøge forbindelsesproblemet.