DELL EMC Unity: Så här kontrollerar du LDAP- och LDAPS-anslutningsstatus

• Ldapsearch för att testa LDAP/LDAPs-anslutning

 LDAP har ingen TLS-anslutning (Transport Layer Security), du behöver inte ladda upp LDAPS-certifikat.
 För LDAPS måste ett LDAPS-certifikat laddas upp till Unity när LDAPS konfigureras.
För att kunna köra kommandot måste du ha root-åtkomst.

 Exemplet för LDAP-testkommandot:
   ldapsearch -x -d 1 -v -h ldap://ldapserver_name_or_IP:389 -b "CN=Users,dc=peeps,dc=lab" -D "CN=Administrator,CN=Users,DC=peeps,DC=lab" -w Lösenord

Exemplet för LDAPS-testkommando:
 env LDAPTLS_CACERT=/EMC/backend/CEM/LDAPCer/serverCertificate.cer ldapsearch -x -d 1 -v -H ldaps://ldapserver_name_or_IP:636 -b "CN=Users,dc=peeps,dc=lab" -D "CN=Administrator,CN=Users,DC=peeps,DC=lab" -w Lösenord

Obs! "LDAPTLS_CACERT" anger var Unity hittar servercertifikatet. LDAP kan använda port 389,3268; LDAPS kan använda 636,3269; Om du vill att kunden ska ange lösenord ska du använda -W istället för "-w Password".
 

• Anslutningsprocess

STEG 1# Lös ldapservernamn till IP-adress genom att fråga DNS-server eller lokal fil /etc/hosts; Du kan ange IP-adress för att kringgå det här steget.
STEG 2# Upprätta TCP-anslutning mellan Unity- och LDAP-servrar.
STEG 3# TLS-Kontrollera Unity-sidan för uppladdat certifikat i /EMC/backend/CEM/LDAPCer/serverCertificate.cer
STEG 4# TLS-handskakning, klienten skickar ett klienthälsningsmeddelande till servern
STEG 5# TLS-handskakning, servern svarar genom att skicka ett serverhälsningsmeddelande till klienten
STEG 6# TLS Servern skickar sitt certifikat till klienten för autentisering, klienten kontrollerar den med /EMC/backend/CEM/LDAPCer/serverCertificate.cer
STEG 7# LDAP-serverkontroller Bind användare och lösenord som tillhandahålls av klienten

Notera: LDAP-anslutningen har ingen TLS-anslutning.
 

• Exempel på lyckad anslutning

 ldap_url_parse_ext(ldaps://123.abc.cde.com:3269)
ldap_create
ldap_url_parse_ext(ldaps://123.abc.cde.com::3269/?? bas)
Ange LDAP-lösenord:
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP 123.abc.cde.com::3269
ldap_new_socket:
3 ldap_prepare_socket:
3 ldap_connect_to_host: Om du försöker 123.123.123.123:3269 <<<<<< återställs värdnamnet till IP-adressen
ldap_pvt_connect: fd: 3 tm: -1 asynkron:
0 försök att ansluta:
TCP-sessionen lyckades<<<<<<<< med anslutningen. 
TLS-spårning: SSL_connect: Före/anslut-initiering <<<<< uppladdat certifikat kontrolleras här, inget fel om det finns ett certifikat.
TLS-spårning: SSL_connect:SSLv2/v3 skriv klient hello En
TLS-spårning: SSL_connect:SSLv3 läs serverhälsning Verifiering
av TLS-certifikat: djup: 2, fel: 0, ämne: /xxxxxxxxxxx
Verifiering av TLS-certifikat: djup: 1, fel: 0, ämne: /C=xx/O=xxx /CN=xxxxx, utfärdare: /C=xx/O=xxx./CN=xxxx
Verifiering av TLS-certifikat: djup: 0, fel: 0, ämne: /CN=xxxxxx utfärdare: /C=US/O=xxx./CN=xxxxxx
TLS-spårning: SSL_connect:SSLv3 lässervercertifikat En <<<<<<TLS-spårning för verifiera servercertifikat:
SSL_connect:SSLv3 lässervernyckelutbyte En
TLS-spårning: SSL_connect:SSLv3 läsbegäran om servercertifikat En
TLS-spårning: SSL_connect:SSLv3-lässervern klar En
TLS-spårning: SSL_connect:SSLv3 skrivklientcertifikat En
TLS-spårning: SSL_connect:SSLv3 skrivklientnyckelutbyte En
TLS-spårning: SSL_connect:SSLv3 skrivändring chifferspecifikation En
TLS-spårning: SSL_connect:SSLv3-skrivning slutförd En
TLS-spårning: SSL_connect:SSLv3-tömningsdata
TLS-spårning: SSL_connect:SSLv3-läsning slutförd Ett
ldap_open_defconn: en anslutning till LDAPS-servern lyckades.
<<<<<
ldap_send_server_request ber_scanf fmt ({it) ber:
ber_scanf fmt ({i) ber:
ber_flush2: 90 byte till SD 3
ldap_result LD 0x7fd64f5a5750 MSGSTR 1
.....................

# filtrera: (objectclass=*)
# begära: ALLA#

res_errno: 0, res_error: <>, res_matched: <>                   <<<<< a Bindningssökning eller användarsökning lyckas. 
ldap_free_request (Origid 2, MSGSTR 2)

• Felmeddelande och lösning

1 Anslutningsfel "Namnet hittades inte":
"dap_connect_to_host: GetAddrInfo misslyckades: Namn eller tjänst är inte känd"
Kontrollera anslutningsfel för DNS-server, brandvägg, DNS-lastbalanserare

2 "TCP-sessionsfel":"anslut fel
"Kontrollera
LDAP-serverport och IP-anslutning; brandvägg

3-anslutning TLS-fel "kan inte hitta certifikat":
"TLS: kunde inte läsa in verifieringsplatser...."
Kontrollera att LDAPS-servercertifikatet är uppladdat eller inte

4 TLS-anslutningsfel " klienthälsningsfel":
"TLS-spårning: SSL_connect:fel i SSLv2/v3 skrivklient hej"
Kontrollera serverstöd TLS eller inte; kontrollera brandvägg

5-anslutning TLS-fel "server hello error"
"TLS-spårning: SSL_connect:fel i SSLv2/v3 läs serverhej"
Kontrollera om servern stöder TLS eller inte; kontrollera brandvägg

6-anslutning TLS-fel "certifikatverifieringsfel":
"TLS-certifikatverifiering: Fel"
Kontrollera LDAPS-servercertifikatet och ladda upp till Unityigen. 

7 anslutningsfel "Fel på bindning av användare/lösenord":
"ldap_bind: Ogiltiga autentiseringsuppgifter"
Kontrollera användarnamn och lösenord, försök med samma konto för att logga in på en kundklient.
 

• Felsökning genom att samla in tcpdump

  För steg 1~6-fel, om du inte kan hitta ett uppenbart problem, registrera en tcpdump medan du kör ldapsearch-kommandot. Involvera GNS-teamet för att undersöka anslutningsproblemet.