Dell EMC Unity. Как проверить состояние подключения LDAP и LDAPS

• Ldapsearch для проверки подключения LDAP/LDAPs

 Протокол LDAP не имеет подключения по протоколу TLS (Transport Layer Security), поэтому вам не нужно загружать сертификаты LDAPS.
 В случае LDAPS во время настройки LDAPS в Unity необходимо загрузить сертификат LDAPS.
Для того, чтобы выполнить команду, у вас должен быть root-доступ.

 Пример команды тестирования LDAP:
   ldapsearch -x -d 1 -v -H ldap://ldapserver_name_or_IP:389 -b "CN=Users,dc=peeps,dc=lab" -D "CN=Administrator,CN=Users,DC=peeps,DC=lab" -w Пароль

Пример для команды тестирования LDAPS:
 env LDAPTLS_CACERT=/EMC/backend/CEM/LDAPCer/serverCertificate.cer ldapsearch -x -d 1 -v -h ldaps://ldapserver_name_or_IP:636 -b "CN=Users,dc=peeps,dc=lab" -D "CN=Administrator,CN=Users,DC=peeps,DC=lab" -w Примечание к паролю

: «LDAPTLS_CACERT» указывает, где в Unity найти сертификат сервера. LDAP может использовать порт 389,3268; LDAPS может использовать 636,3269; Если вам нужно, чтобы пользователь ввел пароль, используйте -W вместо "-w Password".
 

• Процесс подключения

ШАГ 1# Преобразуйте имя ldapserver в IP-адрес, запросив DNS-сервер или локальный файл /etc/hosts; Вы можете указать IP-адрес, чтобы пропустить этот шаг.
ШАГ 2# Установите TCP-соединение между серверами Unity и LDAP.
ШАГ 3# TLS Проверьте сторону Unity на наличие загруженного сертификата в /EMC/backend/CEM/LDAPCer/serverCertificate.cer
ШАГ 4# Подтверждение подключения TLS, клиент отправляет сообщение
приветствия клиента серверу ШАГ 5# Подтверждение подключения TLS, сервер отвечает, отправляя клиенту
сообщение приветствия сервера ШАГ 6# TLS Сервер отправляет свой сертификат клиенту для аутентификации, клиент проверяет его с помощью /EMC/backend/CEM/LDAPCer/serverCertificate.cer
ШАГ 7# Проверки сервера LDAP Связывание пользователя и пароля, предоставленных клиентом

Примечание. В подключении LDAP отсутствует подключение к протоколу TLS.
 

• Пример успешного подключения

 ldap_url_parse_ext(ldaps://123.abc.cde.com:3269)
ldap_create
ldap_url_parse_ext(ldaps://123.abc.cde.com::3269/?? base)
Введите пароль LDAP:
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP 123.abc.cde.com::3269
ldap_new_socket:
3 ldap_prepare_socket:
3 ldap_connect_to_host: Попытка 123.123.123.123:3269 <<<<<< изменить имя хоста на IP-адрес
ldap_pvt_connect: fd: 3 тм: -1 асинхронный:
0 попыток подключения:
успешно установлена <<<<<<<<TCP-сессия. 
Трассировка TLS: SSL_connect: здесь проверяется загруженный сертификат до/перед инициализацией <<<<< соединения, ошибка отсутствует, если сертификат существует.
Трассировка TLS: SSL_connect:SSLv2/v3 write client hello Трассировка
TLS: SSL_connect:SSLv3 read server hello Проверка сертификата
TLS: глубина: 2, ошибка: 0, тема: /xxxxxxxxxxxxxxxxxxxxxx
Проверка сертификата TLS: глубина: 1, ошибка: 0, тема: /C=xx/O=xxx /CN=xxxxx, эмитент: /C=xx/O=xxx./CN=xxxx
Проверка сертификата TLS: глубина: 0, err: 0, тема: /CN=xxxxxx издатель: /C=US/O=xxx./CN=xxxxxx
Трассировка TLS: SSL_connect:SSLv3 чтение сертификата сервера А <<<<<<проверка сертификатов
сервера Трассировка TLS: SSL_connect:SSLv3 чтение обмена ключами сервера Трассировка
TLS: SSL_connect:Запрос сертификата чтения сервера SSLv3 Трассировка
TLS: SSL_connect:сервер чтения SSLv3 выполнил трассировку
TLS: SSL_connect:SSLv3 запись сертификата клиента Трассировка
TLS: SSL_connect:SSLv3 запись клиентского ключа обмена ключами Трассировка
TLS: SSL_connect:SSLv3 write change specher Трассировка
TLS: SSL_connect:Запись SSLv3 завершена Трассировка
TLS: SSL_connect:SSLv3 сглаживает данные
трассировки TLS: SSL_connect:Чтение SSLv3 завершено A
ldap_open_defconn: установлено успешное<<<<< подключение к серверу LDAPS.

ldap_send_server_request ber_scanf fmt ({it) ber:
ber_scanf fmt ({i) ber:
ber_flush2: 90 байт на SD 3
ldap_result LD 0x7fd64f5a5750 MSGID 1
.....................

# фильтр: (класс объекта=*)
# запрос: ALL
#
res_errno: 0, res_error: <>, res_matched: <>                   <<<<< Поиск привязки или поиск пользователя выполнен успешно. 
ldap_free_request (origid 2, msgid 2)

• Сообщение об ошибке и решение

1 ошибка подключения "Имя не найдено":
"dap_connect_to_host: Сбой getAddrinfo: Name or service not known"
Please check DNS server, firewall, DNS load balancer

2 connection error "TCP session error":
"connect errno"
Please check LDAP server port and IP connectivity;

firewall 3 connection TLS error "cannot find certificate":
"TLS: could could load verify locations...."
Please check certificate or not

4 connection TLS error " client hello error":
«Трассировка TLS: SSL_connect:ошибка в SSLv2/v3 write client hello"
Пожалуйста, проверьте, поддерживает ли сервер TLS или нет; проверьте подключение к межсетевому экрану

5 Ошибка TLS "server hello error"
"Трассировка TLS: SSL_connect:ошибка в SSLv2/v3 read server hello"
Пожалуйста, проверьте, поддерживает ли сервер TLS или нет; проверьте подключение к брандмауэру

6 Ошибка TLS "certificate verify error":
"Проверка сертификата TLS: Ошибка"
Проверьте сертификат сервера LDAPS и снова загрузите в Unity. 

7 ошибка подключения "Bind user/password error":
"ldap_bind: Invalid credentials"
Проверьте имя пользователя и пароль и попробуйте использовать одну и ту же учетную запись для входа в клиентский настольный клиент заказчика.
 

• Поиск и устранение неисправностей путем захвата tcpdump

  Для сбоя шага 1~6, если вы не можете найти очевидную проблему, пожалуйста, запишите tcpdump при выполнении команды ldapsearch, привлеките команду GNS для изучения проблемы с соединением.