Dell EMC Unity: Come controllare LDAP e lo stato di connessione LDAPS

• Ldapsearch per testare la connessione LDAP/LDAPs

 LDAP non dispone di una connessione TLS (Transport Layer Security), non è necessario caricare i certificati LDAPS.
 Per LDAPS, è necessario caricare un certificato ldaps in Unity durante la configurazione di LDAPS.
Per eseguire il comando, è necessario disporre dell'accesso root.

 Esempio di comando di test LDAP:
   ldapsearch -x -d 1 -v -H ldap://ldapserver_name_or_IP:389 -b "CN=Utenti,dc=peeps,dc=lab" -D "CN=Amministratore,CN=Utenti,DC=peeps,DC=lab" -w Password

L'esempio per LDAPS test command:
 env LDAPTLS_CACERT=/EMC/backend/CEM/LDAPCer/serverCertificate.cer ldapsearch -x -d 1 -v -H ldaps://ldapserver_name_or_IP:636 -b "CN=Users,dc=peeps,dc=lab" -D "CN=Administrator,CN=Users,DC=peeps,DC=lab" -w Password

Nota: "LDAPTLS_CACERT" indica dove Unity trovare il certificato del server. LDAP può utilizzare la porta 389,3268; LDAPS può utilizzare 636.3269; se è necessario che il cliente inserisca la password, utilizzare -W anziché "-w Password".
 

• Processo di connessione

PASSO 1 # Risolvi il nome ldapserver nell'indirizzo IP interrogando il server DNS o il file locale /etc/hosts; È possibile specificare l'indirizzo IP per ignorare questo passaggio.
PASSAGGIO 2# Stabilire la connessione TCP tra i server Unity e LDAP.
PASSAGGIO 3# TLS Controllare sul lato Unity il certificato caricato in /EMC/backend/CEM/LDAPCer/serverCertificate.cer
PASSAGGIO 4# Handshake TLS, il client invia un messaggio di benvenuto al server
PASSAGGIO 5# Handshake TLS, il server risponde inviando un messaggio di saluto al client
PASSAGGIO 6# TLS Il server invia il proprio certificato al client per l'autenticazione, il client lo controlla con /EMC/backend/CEM/LDAPCer/serverCertificate.cer
PASSAGGIO 7# Il server LDAP controlla Associa utente e password forniti dal client

Nota: La connessione LDAP non dispone di una connessione TLS.
 

• Esempio di connessione riuscita

 ldap_url_parse_ext(ldaps://123.abc.cde.com:3269)ldap_create

ldap_url_parse_ext(ldaps://123.abc.cde.com::3269/?? base)
Inserire la password LDAP:
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP 123.abc.cde.com::3269
ldap_new_socket:
3 ldap_prepare_socket:
3 ldap_connect_to_host: Provando 123.123.123.123:3269 <<<<<< il nome host viene resoved all'indirizzo
IP ldap_pvt_connect: fd: 3 TM: -1 asincrono:
0 tentativo di connessione:
connessione riuscita<<<<<<<< Viene stabilita una sessione TCP. 
Traccia TLS: SSL_connect: il certificato caricato dell'inizializzazione <<<<< prima/connessione è controllato qui, nessun errore se esiste un certificato.
Traccia TLS: SSL_connect: Caricamento client di scrittura SSLv2/v3 Una
traccia TLS: SSL_connect: SSLv3 lettura server hello Verifica certificato TLS A
: Profondità: 2, errare: 0, oggetto: /xxxxxxxxxxxxxxxxxxxxxx
Verifica certificato TLS: profondità: 1, ehm: 0, oggetto: /C=xx/O=xxx /CN=xxxxx, emittente: /C=xx/O=xxx./CN=xxxx
Verifica certificato TLS: Profondità: 0, err: 0, oggetto: /CN=xxxxxx emittente: /C=US/O=xxx./CN=xxxxxx
Traccia TLS: SSL_connect: SSLv3 legge il certificato del server A per <<<<<<verificare la traccia TLS dei certificati
del server: SSL_connect: SSLv3 ha letto lo scambio di chiavi del server Una
traccia TLS: SSL_connect: Richiesta di certificato del server di lettura SSLv3 Una
traccia TLS: SSL_connect: Server di lettura SSLv3 eseguito Una
traccia TLS: SSL_connect: SSLv3 scrive una traccia TLS del
certificato client: SSL_connect: scrittura SSLv3 scambio chiave client Una
traccia TLS: SSL_connect: Specifica della crittografia di modifica della scrittura SSLv3 Una
traccia TLS: SSL_connect: Scrittura SSLv3 completata Una
traccia TLS: SSL_connect: traccia TLS dei dati
di svuotamento SSLv3: SSL_connect: lettura SSLv3 completata Un
ldap_open_defconn: riuscita viene<<<<< stabilita una connessione al server LDAPS.

ldap_send_server_request ber_scanf FMT ({IT) NUMERO:
ber_scanf FMT ({I) NUMERO:
ber_flush2: 90 byte per SD 3
ldap_result LD 0x7fd64f5a5750 MSGID 1
.....................

# filtro: (classe oggetto=*)
# richiedendo: TUTTI#

res_errno: 0, res_error: <>, res_matched: <>                   <<<<< una ricerca Bind o User Search ha esito positivo. 
ldap_free_request (Origid 2, Mostro 2)

• Messaggio di errore e soluzione

1 Errore di connessione "Name is not found":
"dap_connect_to_host: GetAddrinfo non riuscito: Nome o servizio sconosciuto"
Verificare il server DNS, il firewall, il bilanciamento

del carico DNS 2 errore di connessione "TCP session error":
"connect errno"
Verificare la porta del server LDAP e la connettività IP; connessione firewall

3 Errore TLS "cannot find certificate":
"TLS: could not load verify locations...."
Verificare che il certificato del server LDAPS sia caricato o no

4 connessione TLS error " client hello error":
"Traccia TLS: SSL_connect:errore nel client di scrittura SSLv2/v3 ciao"
Verificare o meno il supporto del server TLS; controllare la connessione del firewall

5 Errore TLS "errore hello server"
"Traccia TLS: SSL_connect:errore in SSLv2/v3 lettura del server ciao"
Verificare se il server supporta TLS o meno; controllare la connessione del firewall

6 Errore TLS "errore di verifica del certificato":
"Verifica del certificato TLS: Errore"
Controllare il certificato del server LDAPS ed eseguire nuovamente l'upload su Unity. 

7 errore di connessione "Errore di binding utente/password":
"ldap_bind: Credenziali non valide"
Verificare nome utente e password, provare lo stesso account per accedere a un client desktop del cliente.
 

• Risoluzione dei problemi tramite l'acquisizione di tcpdump

  Per il passaggio 1 ~ 6 fallimento, se non riesci a trovare un problema evidente, acquisisci un tcpdump durante l'esecuzione del comando ldapsearch, coinvolgi il team GNS per indagare sul problema di connessione.