DELL EMC Unity: LDAP ve LDAPS Bağlantı Durumunu Kontrol Etme

• LDAP/LDAPs bağlantısını test etmek için Ldapsearch

 LDAP'nin Aktarım Katmanı Güvenliği (TLS) bağlantısı yoktur, LDAPS sertifikalarını karşıya yüklemeniz gerekmez.
 LDAPS için LDAPS kurulumu sırasında Unity'ye bir ldaps sertifikası yüklenmelidir.
Komutu çalıştırmak için kök erişimine sahip olmanız gerekir.

 LDAP test komutu örneği:
   ldapsearch -x -d 1 -v -H ldap://ldapserver_name_or_IP:389 -b "CN=Users,dc=peeps,dc=lab" -D "CN=Administrator,CN=Users,DC=peeps,DC=lab" -w Password

LDAPS test komutu örneği:
 env LDAPTLS_CACERT=/EMC/backend/CEM/LDAPCer/serverCertificate.cer ldapsearch -x -d 1 -v -H ldaps://ldapserver_name_or_IP:636 -b "CN=Users,dc=peeps,dc=lab" -D "CN=Administrator,CN=Users,DC=peeps,DC=lab" -w Password

Not: LDAPTLS_CACERT", Unity'nin sunucu sertifikasının nerede bulunacağını belirtir. LDAP, 389,3268 numaralı bağlantı noktasını kullanabilir; LDAPS 636,3269'u kullanabilir; Müşterinin şifre girmesine ihtiyacınız varsa, lütfen "-w Şifresi" yerine -W kullanın.
 

• Bağlantı süreci

ADIM 1# DNS sunucu veya yerel dosya /etc/hosts sorgulayarak ldapserver adını IP adresine çözümleyin; Bu adımı atlamak için IP adresi belirtebilirsiniz.
ADIM 2# Unity ve LDAP sunucuları arasında TCP bağlantısı kurun.
ADIM 3# /EMC/backend/CEM/LDAPCer/serverCertificate.cer
içinde yüklenen sertifika için TLS Unity tarafını kontrol edin ADIM 4# TLS el sıkışması, istemci sunucuya
bir İstemci merhaba mesajı gönderir ADIM 5# TLS el sıkışması, sunucu istemciye
bir sunucu merhaba mesajı göndererek yanıt verir ADIM 6# TLS Sunucu, sertifikasını kimlik doğrulama için istemciye gönderir, istemci bunu /EMC/backend/CEM/LDAPCer/serverCertificate.cer
ile kontrol eder ADIM 7# LDAP sunucusu denetimleri İstemci

tarafından sağlanan kullanıcı ve parolayı bağlama Not: LDAP bağlantısının TLS bağlantısı yok.
 

• Başarılı bağlantı örneği

 ldap_url_parse_ext(ldaps://123.abc.cde.com:3269)
ldap_create
ldap_url_parse_ext(ldaps://123.abc.cde.com::3269/?? temel)
LDAP Parolasını girin:
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP 123.abc.cde.com::3269
ldap_new_socket:
3 ldap_prepare_socket:
3 ldap_connect_to_host: 123.123.123.123:3269 <<<<<< hostname is removled IP address
ldap_pvt_connect: fd: 3 tm: -1 async:
0 Bağlanmaya Çalışma:
Bağlantı Başarılı<<<<<<<< TCP oturumu kuruldu. 
TLS trace: SSL_connect: Başlatmadan önce/bağlanmadan <<<<< önce yüklenen sertifika burada kontrol edilir, bir sertifika varsa hata olmaz.
TLS trace: SSL_connect:SSLv2/v3 write client hello A
TLS trace: SSL_connect:SSLv3 read server hello A
TLS certificate verification: depth: 2, hata: 0, subject: /xxxxxxxxxxxxxxxxxxxxxx
TLS certificate verification: depth: 1, hata: 0, subject: /C=xx/O=xxx /CN=xxxxx, issuer: /C=xx/O=xxx./CN=xxxx
TLS certificate verification: depth: 0, err: 0, subject: /CN=xxxxxx issuer: /C=US/O=xxx./CN=xxxxxx
TLS trace: SSL_connect:SSLv3 read server certificate A <<<<<<verify server certificates
TLS trace: SSL_connect:SSLv3 read server key exchange A
TLS trace: SSL_connect:SSLv3 read server certificate request A
TLS trace: SSL_connect:SSLv3 read server done A
TLS trace: SSL_connect:SSLv3 write client certificate A
TLS trace: SSL_connect:SSLv3 write client key exchange A
TLS trace: SSL_connect:SSLv3 yazma değişikliği şifre özelliği A
TLS izlemesi: SSL_connect:SSLv3 write finished A
TLS trace: SSL_connect:SSLv3 flush data
TLS trace: SSL_connect:SSLv3 okuma bitti A
ldap_open_defconn: LDAPS sunucusuna başarılı<<<<< bir bağlantı kurulur.

ldap_send_server_request ber_scanf fmt ({it) ber:
ber_scanf fmt ({i) ber:
ber_flush2: ld 0x7fd64f5a5750 msgid 1
ldap_result SD 3
e 90 bayt.....................

# filter: (nesne sınıfı=*)
# requesting: ALL
#
res_errno: 0, res_error: <>, res_matched: <>                   <<<<< Bağlama araması veya kullanıcı araması başarılı. 
ldap_free_request (origid 2, msgid 2)

• Hata mesajı ve çözümü

1 connection error "name is not found":
"dap_connect_to_host: getaddrinfo failed: Name or service not known"
Please check DNS server, firewall, DNS load balancer

2 connection error "TCP session error":
"connect errno"
Please check LDAP server port and IP connectivity; firewall

3 connection TLS error "cannot find certificate":
"TLS: could not load could not load verify locations..."Please check LDAPS server certificate is upload

/not
4 connection TLS error " client hello error":
TLS trace: SSL_connect:error in SSLv2/v3 write client hello"
Lütfen sunucu desteği TLS'yi kontrol edin veya etmeyin; güvenlik duvarı

5 bağlantısını kontrol edin TLS hatası "sunucu merhaba hatası"
"TLS izleme: SSL_connect:error in SSLv2/v3 read server hello"
Lütfen sunucunun TLS'yi destekleyip desteklemediğini kontrol edin; check firewall

6 connection TLS error "certificate verify error":
"TLS certificate verification: Error"
Lütfen LDAPS sunucu sertifikasını kontrol edin ve Unity'ye tekrar yükleyin. 

7 connection error "Bind user/password error":
"ldap_bind: Geçersiz kimlik bilgileri"
Lütfen kullanıcı adı ve parolayı kontrol edin, bir müşteri masaüstü istemcisinde oturum açmak için aynı hesabı deneyin.
 

• Tcpdump'ı yakalayarak sorun giderme

  Adım 1~6 hatası için, bariz bir sorun bulamazsanız, lütfen ldapsearch komutunu çalıştırırken bir tcpdump yakalayın, bağlantı sorununu araştırmak için GNS ekibini dahil edin.