Testen van een veilige LDAP-verbinding

Gebruik het hulpprogramma ldapsearch vanaf de commandoregel om een ​​eenvoudige LDAP-query uit te voeren. Een succesvol resultaat van de LDAP-query geeft aan dat de LDAP-client, de onderliggende TLS-sessie en de TCP-verbinding naar behoren werken.

Om de connectiviteit met ldapsearch te testen:

1. Maak een LDAP-configuratie aan en download het certificaat volgens de instructies in 'LDAP-clients toevoegen' .

   Opmerking: Om de testomgeving te vereenvoudigen, moet u ervoor zorgen dat er ten minste één gebruiker in de organisatie-eenheid aanwezig is waarvoor u LDAP-clienttoegang autoriseert.

2. Voer een LDAP-query uit. In dit voorbeeld wordt een specifieke gebruiker opgevraagd (zie OpenLDAP ldapsearch voor meer informatie).

   LDAPTLS_CERT={crt_file} LDAPTLS_KEY={key_file} ldapsearch -H ldaps://ldap.google.com:636 -b dc={domain},dc={domain} '(mail={user_email})'

   Vervang de plaatsaanduidingen als volgt:

   • {crt_file} De naam van het .crt-bestand
   • {key_file} De bestandsnaam van het .key-bestand
   • {domein} Elk onderdeel van de domeinnaam, bijvoorbeeld: example.com, zou "dc=example,dc=com" worden.
   • {user_email} Primair e-mailadres van een gebruiker binnen het domein.

Opmerkingen over het gebruik van ldapsearch

• Als er geen BindDN-waarde wordt opgegeven, gebruikt ldapsearch de sleutel en het certificaat om de zoekopdracht te autoriseren.
• Als de BindDN-waarde een LDAP-gebruikersnaam is die u in de beheerdersconsole hebt gegenereerd , gebruikt ldapsearch de machtigingen van de LDAP-client zoals geconfigureerd in de beheerdersconsole.

  ldapsearch -H ldaps://ldap.google.com:636 -b dc={domain},dc={domain} -D {ldap_access_credentials_username} -W '(mail={user_email})

• Als de BindDN-waarde een e-mailadres of een LDAP-onderscheidende naam van een Workspace-gebruiker is, gebruikt ldapsearch de referenties van die gebruiker om te zoeken op basis van diens machtigingen.

  ldapsearch -H ldaps://ldap.google.com:636 -b dc={domain},dc={domain} -D {workspace_username@domain} -W '(mail={user_email})'

Gebruik ldapsearch met stunnel

Als je voor je implementatie stunnel moet gebruiken, volg dan deze stappen:

1. Genereer in de beheerdersconsole toegangsgegevens om de gebruikersnaam en het wachtwoord te genereren die nodig zijn voor ldapsearch.
2. Gebruik de volgende opdracht:

   ldapsearch -x -D "{username}" -w {password} -H ldap://{stunnel_host}:{stunnel_port} -b dc={domain},dc={domain} '(mail={user_email})'

   Vervang de plaatsaanduidingen als volgt:

   • {username} Gebruikersnaam uit de gegenereerde inloggegevens in de beheerdersconsole
   • {password} Wachtwoord uit de gegenereerde inloggegevens in de beheerdersconsole
   • {stunnel_host}: IP-adres of hostnaam van de machine waarop stunnel in uw netwerk draait.
   • {stunnel_port}: de poort waarop stunnel draait. Controleer je stunnel-configuratie.
   • {user_email} Primair e-mailadres van een gebruiker in het domein

Succesvol scenario van het ldapsearch-commando

Een succesvolle uitvoer van het commando ldapsearch zal de gebruiker met het e-mailadres (zoals opgegeven bij het aanmaken van de LDAP-client) in LDIF-formaat weergeven.

Bijvoorbeeld:

# extended LDIF
#
# LDAPv3
# base <dc=example,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# example.com
dn: dc=example,dc=com
objectClass: top
objectClass: domain
objectClass: dcObject
dc: example

# admin-group, Groups, example.com
dn: cn=admin-group,ou=Groups,dc=example,dc=com
objectClass: top
objectClass: groupOfNames
objectClass: posixGroup
cn: admin-group
displayName: admin-group
description:
gidNumber: 12345
member: uid=admin,ou=Users,dc=example,dc=com
memberUid: admin
googleAdminCreated: FALSE

# example-user, Users, example.com
dn: uid=example-user,ou=Users,dc=example,dc=com
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: posixAccount
uid: example-user
googleUid: example-user
posixUid: example-user
cn: example-user
cn: FirstName LastName
sn: FirstName
displayName: FirstName LastName
givenName: FirstName
mail: example-user@example.com
uidNumber: 12345
gidNumber: 12345
homeDirectory: /home/example-user
loginShell: /bin/bash
gecos:

Mogelijke fouten

• De OpenLDAP-client en/of -bibliotheek zijn gecompileerd zonder SNI-ondersteuning.
  
  SNI (Server Name Indication) moet door de LDAP-client (in dit geval OpenLDAP ) worden ondersteund. Als SNI niet beschikbaar is, kunt u een foutmelding zien die lijkt op de volgende:
  
  SASL/EXTERNAL authentication started

ldap_sasl_interactive_bind_s: Unknown authentication method (-6)
additional info: SASL(-4): no mechanism available:
  
  Aanbeveling:
  • Als je macOS gebruikt, is SASL standaard ingeschakeld en kan het worden omzeild met de optie "-x".
  • Voeg de optie -d5 toe aan ldapsearch en controleer de uitvoer op de volgende regel:
    
    TLS certificate verification: depth: 0, err: 18, subject: /OU=No SNI provided; please fix your client.
    

• ldapsearch geeft status 0 (succes) terug, maar er worden geen gebruikers weergegeven.
  
  Het specificeren van de ldapsearch-optie -x (SASL-authenticatie gebruiken) met clientcertificaten zal weliswaar succesvol authenticeren, maar geen gebruikers in het domein weergeven.
  
  Aanbeveling: Verwijder de optie -x en probeer het opnieuw.

1. Volg de stappen 1-11 in ldp.exe (Windows) om de clientcertificaten te installeren.
2. Ga naar Actie > Verbinden met…
3. Voer de volgende verbindingsinstellingen in:
   
   Naam: Voer een naam in voor uw verbinding, bijvoorbeeld Google LDAP .
   Verbindingspunt: "Selecteer of typ een onderscheidende naam of naamgevingscontext"
   Voer uw domeinnaam in DN-formaat in (bijvoorbeeld dc=example,dc=com voor example.com ).
   
   Computer: "Selecteer of typ een domein of server"
   ldap.google.com
   
   SSL-gebaseerde versleuteling gebruiken: aangevinkt
   
4. Klik op Geavanceerd... en voer de volgende gegevens in:
   
   Geef inloggegevens op: Aangevinkt
   Gebruikersnaam: De gebruikersnaam voor toegang vanuit de beheerdersconsole
   Wachtwoord: Het toegangswachtwoord van de beheerdersconsole
   Poortnummer: 636
   Protocol: LDAP
   Eenvoudige bind-authenticatie: gecontroleerd
   
5. Klik op OK en vervolgens nogmaals op OK .
6. Als de verbinding succesvol is, worden de mapinhoud in de basis-DN in het rechterpaneel weergegeven.

1. Installeer OpenSSL .
2. Converteer de certificaat- en sleutelbestanden naar één PKCS12-bestand. Voer in een opdrachtprompt het volgende in:
   
   openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
   
   Voer een wachtwoord in om het uitvoerbestand te versleutelen.
   
3. Ga naar het Configuratiescherm.
4. Typ in het zoekvak 'certificaat' en klik op 'Gebruikerscertificaten beheren '.
5. Ga naar Actie > Alle taken > Importeren…
6. Selecteer Huidige gebruiker en klik op Volgende .
7. Klik op Bladeren…
8. Selecteer in het keuzemenu voor bestandstypen in de rechterbenedenhoek van het dialoogvenster ' Persoonlijke informatie-uitwisseling (*.pfx;*.p12)' .
9. Selecteer het bestand ldap-client.p12 uit stap 2, klik op Openen en vervolgens op Volgende .
10. Voer het wachtwoord uit stap 2 in en klik op Volgende .
11. Selecteer de persoonlijke certificatenopslag, klik op Volgende en vervolgens op Voltooien .
12. Start Ldp.exe .
13. Ga naar Verbinding > Verbinden...
14. Voer de volgende verbindingsgegevens in:
    
    Server: ldap.google.com
    Poort: 636
    Verbindingsloos: Niet gecontroleerd
    SSL: Gecontroleerd
    
15. Klik op OK .
16. Ga naar Weergave > Boomstructuur .
17. Voer de basis-DN in. Dit is uw domeinnaam in DN-formaat. (bijvoorbeeld dc=example,dc=com voor example.com ).
18. Klik op OK .
19. Als de verbinding succesvol is, worden de mapinhoud in de basis-DN in het rechterpaneel weergegeven.