DELL EMC Unity：如何檢查 LDAP 和 LDAPS 連線狀態

• Ldapsearch 以測試 LDAP/LDAPs 連線

 LDAP 沒有傳輸層安全性 （TLS） 連接，您不需要上傳 LDAPS 證書。
若為 LDAPS，則必須在設定 LDAPS 時將 ldaps 憑證上傳至 Unity。
若要執行命令，您必須具有 root 存取權限。

LDAP 測試命令的範例：
   ldapsearch -x -d 1 -v -h ldap：//ldapserver_name_or_IP：389 -b “CN=Users，dc=peeps，dc=lab” -D “CN=Administrator，CN=Users，DC=peeps，DC=lab” -w 密碼

LDAPS 測試命令的範例：
 env LDAPTLS_CACERT=/EMC/backend/CEM/LDAPCer/serverCertificate.cer ldapsearch -x -d 1 -v -H ldaps：//ldapserver_name_or_IP：636 -b “CN=Users，dc=peeps，dc=lab” -d “CN=Administrator， CN=Users， DC=peeps， DC=lab” -w 密碼

注意：「LDAPTLS_CACERT」表示 Unity 尋找伺服器憑證的位置。LDAP 可以使用埠 389,3268;LDAPS 可以使用 636,3269;如果您需要客戶輸入密碼，請使用 -W 而非「-w 密碼」。
 

• 連線程序

步驟 1# 透過查詢 DNS 伺服器或本地檔案 /etc/hosts，將 ldapserver 名稱解析為 IP 位址;您可以指定 IP 位址以繞過此步驟。
步驟 2# 在 Unity 和 LDAP 伺服器之間建立 TCP 連線。
步驟 3# TLS 檢查 /EMC/backend/CEM/LDAPCer/serverCertificate.cer
中上傳的證書的 Unity 端 步驟 4# TLS 握手，用戶端向伺服器
發送用戶端問候消息 步驟 5# TLS 握手，伺服器通過向用戶端
發送伺服器問候消息來回應 步驟 6# TLS 伺服器將其證書發送到客戶端進行身份驗證，用戶端會以 /EMC/backend/CEM/LDAPCer/serverCertificate.cer
STEP 7# LDAP 伺服器檢查進行檢查 繫結用戶端

提供的使用者和密碼 注意：LDAP 連線沒有 TLS 連線。
 

• 成功連線範例

 ldap_url_parse_ext（ldaps://123.abc.cde.com:3269）
ldap_create
ldap_url_parse_ext（ldaps：//123.abc.cde.com：：3269/？？基本）
輸入 LDAP 密碼：
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host：TCP 123.abc.cde.com：3269
ldap_new_socket：
3 ldap_prepare_socket：
3 ldap_connect_to_host：嘗試將 123.123.123.123：3269 <<<<<< 主機名稱重新選取至 IP 位址
ldap_pvt_connect：fd：3 TM：-1 非同步：
0 正在嘗試連線：
連線成功<<<<<<<< 已建立 TCP 工作階段。
TLS 追蹤：SSL_connect：已在此處勾選之前/連線初始化<<<<<已上傳的憑證，如果憑證存在，則不會發生錯誤。
TLS 追蹤：SSL_connect：SSLv2/v3 寫入用戶端 Hello TLS
追蹤：SSL_connect：SSLv3 讀取伺服器問候 TLS
憑證驗證： 深度：2，錯誤：0，主旨：/xxxxxxxxxxxxx
TLS 憑證驗證：深度：1，錯誤：0，主旨：/C=xx/O=xxx /CN=xxxxx，頒發者：/C=xx/O=xxx./CN=xxxx
TLS 憑證驗證：深度：0，錯誤：0，主旨：/CN=xxxxxx 簽發者：/C=US/O=xxx./CN=xxxxxx
TLS 追蹤：SSL_connect：SSLv3 讀取伺服器憑證 A <<<<<<驗證伺服器憑證
TLS 追蹤：SSL_connect：SSLv3 讀取伺服器金鑰交換
TLS 追蹤：SSL_connect：SSLv3 讀取伺服器憑證要求
TLS 追蹤：SSL_connect：SSLv3 讀取伺服器已完成 TLS
追蹤：SSL_connect：SSLv3 寫入用戶端憑證 TLS
追蹤：SSL_connect：SSLv3 寫入用戶端金鑰交換
TLS 追蹤：SSL_connect：SSLv3 寫入變更密碼規格 TLS
追蹤：SSL_connect：SSLv3 寫入完成 TLS
追蹤：SSL_connect：SSLv3 排清資料
TLS 追蹤：SSL_connect：SSLv3 讀取已完成 ldap_open_defconn
：成功<<<<<，已建立與 LDAPS 伺服器的連線。

ldap_send_server_request ber_scanf fmt （{it） ber：
ber_scanf fmt （{i） ber：
ber_flush2：90 位元組至 SD 3
ldap_result LD 0x7fd64f5a5750 MSGID 1
.....................

# 過濾器：（物件類=*）
# 要求：
全部#
res_errno：0、res_error：<>，res_matched：<>                   <<<<< 綁定搜索或使用者搜索成功。
ldap_free_request （ORIGID 2、MSGID 2）

• 錯誤訊息與解決方案

1 個連線錯誤「找不到名稱」：
dap_connect_to_host：getaddrinfo 失敗：名稱或服務未知「
請檢查 DNS 伺服器、防火牆、DNS 負載平衡器

2 連線錯誤「TCP 工作階段錯誤」：「
connect errno」
請檢查 LDAP 伺服器連接埠和 IP 連線能力;防火牆

3 連線 TLS 錯誤「找不到憑證」：「
TLS：無法載入驗證位置....」
請檢查 LDAPS 伺服器憑證是否已上傳

4 連線 TLS 錯誤「用戶端好錯誤」：
「TLS trace：SSL_connect：在 SSLv2/v3 寫入用戶端 hello 中的錯誤」
請檢查伺服器是否支援 TLS;檢查防火牆

5 連線 TLS 錯誤「server hello error」
「TLS trace：SSL_connect：在 SSLv2/v3 讀取伺服器中出現錯誤「
請檢查伺服器是否支援 TLS」檢查防火牆

6 連線 TLS 錯誤「憑證驗證錯誤」：「
TLS 憑證驗證：錯誤「
請檢查 LDAPS 伺服器憑證並再次上傳至 Unity。

7 連線錯誤「繫結使用者/密碼錯誤」：「
ldap_bind：憑據無效“
請檢查使用者名和密碼，嘗試使用同一帳戶登錄客戶桌面用戶端。
 

• 透過擷取 tcpdump 進行故障診斷

  對於步驟1~6失敗，如果找不到明顯問題，請在運行ldapsearch命令時捕獲tcpdump，並讓GNS團隊調查連接問題。