Dell EMC Unity: Como verificar o estado da conexão LDAP e LDAPS

• Ldapsearch para testar a conexão LDAP/LDAPs

 O LDAP não tem conexão Transport Layer Security (TLS), você não precisa carregar certificados LDAPS.
 Para LDAPS, um certificado ldaps deve ser carregado no Unity durante a configuração do LDAPS.
Para executar o comando, você deve ter acesso root.

 O exemplo do comando de teste LDAP:
   ldapsearch -x -d 1 -v -H ldap://ldapserver_name_or_IP:389 -b "CN=Users,dc=peeps,dc=lab" -D "CN=Administrator,CN=Users,DC=peeps,DC=lab" -w Senha

O exemplo de comando de teste do LDAPS:
 env LDAPTLS_CACERT=/EMC/backend/CEM/LDAPCer/serverCertificate.cer ldapsearch -x -d 1 -v -H ldaps://ldapserver_name_or_IP:636 -b "CN=Users,dc=peeps,dc=lab" -D "CN=Administrator,CN=Users,DC=peeps,DC=lab" -w Password

Nota: "LDAPTLS_CACERT" indica onde o Unity deve localizar o certificado do servidor. O LDAP pode usar a porta 389,3268; LDAPS pode usar 636,3269; Se você precisar que o cliente insira a senha, use -W em vez de "-w Password".
 

• Processo de conexão

PASSO 1# Resolva o nome do ldapserver para o endereço IP consultando o servidor DNS ou o arquivo local /etc/hosts; Você pode especificar o endereço IP para ignorar essa etapa.
ETAPA 2# Estabeleça a conexão TCP entre os servidores Unity e LDAP.
ETAPA 3# TLS Verifique o lado do Unity para o certificado carregado em /EMC/backend/CEM/LDAPCer/serverCertificate.cer
PASSO 4# TLS handshake,o cliente envia uma mensagem de saudação do cliente para o servidor
PASSO 5# TLS handshake,o servidor responde enviando uma mensagem de saudação do servidor para o cliente
PASSO 6# TLS O servidor envia seu certificado para o cliente para autenticação, o cliente verifica com /EMC/backend/CEM/LDAPCer/serverCertificate.cer
ETAPA 7# Verificações do servidor LDAP Vincular usuário e senha fornecidos pelo cliente

Nota: A conexão LDAP não tem conexão TLS.
 

• Exemplo de conexão bem-sucedida

 ldap_url_parse_ext(ldaps://123.abc.cde.com:3269)
ldap_create
ldap_url_parse_ext(ldaps://123.abc.cde.com::3269/?? base)
Digite a senha LDAP:
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP 123.abc.cde.com::3269
ldap_new_socket:
3 ldap_prepare_socket:
3 ldap_connect_to_host: Tentando 123.123.123.123:3269 <<<<<< hostname é resovled para o endereço
IP ldap_pvt_connect: fd: 3 tm: -1 assíncrono:
0 tentativa de conexão: conexão bem-sucedida <<
<<<<<<A sessão TCP foi estabelecida. 
Rastreamento de TLS: SSL_connect: antes/conectar inicialização <<<<< carregado certificado é verificado aqui, nenhum erro se existir um certificado.
Rastreamento de TLS: SSL_connect: SSLv2/v3 gravar client hello A
Rastreamento TLS: SSL_connect: SSLv3 Leia o servidor Olá A
Verificação do certificado TLS: profundidade: 2, erro: 0, assunto: /xxxxxxxxxxxxx
Verificação do certificado TLS: profundidade: 1, erro: 0, assunto: /C=xx/O=xxx /CN=xxxxx, emissor: /C=xx/O=xxx./CN=xxxx
Verificação do certificado TLS: profundidade: 0, erro: 0, assunto: /CN=xxxxxx emissor: /C=US/O=xxx./CN=xxxxxx
Rastreamento TLS: SSL_connect: SSLv3 lê o certificado do servidor A <<<<<<verifica os certificados
do servidor Rastreamento TLS: SSL_connect: SSLv3 lê a troca de chaves do servidor Um
rastreamento TLS: SSL_connect:SSLv3 lê a solicitação de certificado do servidor Um
rastreamento TLS: SSL_connect: servidor de leitura SSLv3 concluído Um
rastreamento TLS: SSL_connect: SSLv3 grava o certificado do client A
Rastreamento TLS: SSL_connect: troca de chaves de client de gravação SSLv3 Um
rastreamento TLS: SSL_connect: SSLv3 write change cipher spec A
TLS trace: SSL_connect: gravação SSLv3 concluída Um
rastreamento TLS: SSL_connect: rastreamento TLS de
dados de flush SSLv3: SSL_connect:SSLv3 leitura concluída Um
ldap_open_defconn: uma conexão bem-sucedida<<<<< é estabelecida com o servidor LDAPS.

ldap_send_server_request ber_scanf fmt ({it) ber:
ber_scanf fmt ({i) ber:
ber_flush2: 90 bytes para SD 3
ldap_result ld 0x7fd64f5a5750 msgid 1
.....................

# filtro: (ObjectClass=*)
# solicitando: TODOS#

res_errno: 0, res_error: <>, res_matched: <>                   <<<<< uma pesquisa de vinculação ou pesquisa de usuário foi bem-sucedida. 
ldap_free_request (Origid 2, MSGID 2)

• Mensagem de erro e solução

1 erro de conexão "name is not found":
"dap_connect_to_host: getaddrinfo failed: Nome ou serviço desconhecido"
Verifique o servidor DNS, firewall, erro de conexão do balanceador

de carga DNS 2 "TCP session error":
"connect errno"
Verifique a porta do servidor LDAP e a conectividade IP; firewall

3 connection TLS error "cannot find certificate":
"TLS: couldn_load verify locations...."
Please check LDAPS server certificate is uploaded or not

4 connection TLS error " client hello error":
"Rastreamento de TLS: SSL_connect:erro no SSLv2/v3 write client hello"
Verifique o suporte ao TLS do servidor ou não; verifique o erro TLS da conexão do firewall

5 "server hello error"
"Rastreamento TLS: SSL_connect:erro no SSLv2/v3 leia o servidor hello"
Verifique se o servidor é compatível ou não com TLS; verifique o erro de TLS da conexão 6 do firewall

"erro de verificação do certificado":
"Verificação do certificado TLS: Erro"
Verifique o certificado do servidor LDAPS e carregue no Unitynovamente. 

7 erro de conexão "Bind user/password error":
"ldap_bind: Credenciais inválidas"
Verifique o nome de usuário e a senha. Experimente a mesma conta para fazer login em um cliente de desktop do cliente.
 

• Solução de problemas capturando tcpdump

  Para a falha da etapa 1 ~ 6, se você não conseguir encontrar um problema óbvio, capture um tcpdump enquanto executa o comando ldapsearch, envolva a equipe GNS para investigar o problema de conexão.