নিরাপদ LDAP সংযোগ পরীক্ষা

একটি সাধারণ LDAP কোয়েরি করার জন্য কমান্ড লাইন থেকে ldapsearch ইউটিলিটি ব্যবহার করুন। একটি সফল LDAP কোয়েরির ফলাফল নির্দেশ করে যে LDAP ক্লায়েন্ট এবং অন্তর্নিহিত TLS সেশন ও TCP সংযোগ উদ্দেশ্য অনুযায়ী কাজ করছে।

ldapsearch-এর সাথে সংযোগ পরীক্ষা করতে:

1. "Add LDAP clients"- এর নির্দেশাবলী অনুসরণ করে একটি LDAP কনফিগারেশন তৈরি করুন এবং সার্টিফিকেটটি ডাউনলোড করুন।

   দ্রষ্টব্য: পরীক্ষার পরিবেশ সহজ করার জন্য, নিশ্চিত করুন যে আপনি যে সাংগঠনিক ইউনিটকে LDAP ক্লায়েন্ট অ্যাক্সেসের অনুমোদন দিচ্ছেন, সেখানে অন্তত একজন ব্যবহারকারী আছেন।

2. একটি LDAP কোয়েরি চালান। এই উদাহরণটি একজন নির্দিষ্ট ব্যবহারকারীকে কোয়েরি করে (আরও বিস্তারিত জানতে, OpenLDAP ldapsearch দেখুন)।

   LDAPTLS_CERT={crt_file} LDAPTLS_KEY={key_file} ldapsearch -H ldaps://ldap.google.com:636 -b dc={domain},dc={domain} '(mail={user_email})'

   প্লেসহোল্ডারগুলিকে নিম্নরূপে প্রতিস্থাপন করুন:

   • {crt_file} .crt ফাইলটির নাম
   • {key_file} .key ফাইলের ফাইলের নাম
   • {domain} ডোমেইন নামের প্রতিটি অংশ, উদাহরণস্বরূপ: example.com হয়ে যাবে "dc=example,dc=com"।
   • {user_email} ডোমেইনের একজন ব্যবহারকারীর প্রাথমিক ইমেইল ঠিকানা।

ldapsearch ব্যবহারের উপর কিছু নোট

• যদি কোনো BindDN ভ্যালু প্রদান করা না হয়, তাহলে ldapsearch সার্চটিকে অনুমোদন করার জন্য কী এবং সার্টিফিকেট ব্যবহার করে।
• যদি BindDN ভ্যালুটি অ্যাডমিন কনসোলে আপনার তৈরি করা কোনো LDAP ইউজারনেম হয়, তাহলে ldapsearch অ্যাডমিন কনসোলে কনফিগার করা LDAP ক্লায়েন্টের পারমিশনগুলোই ব্যবহার করবে।

  ldapsearch -H ldaps://ldap.google.com:636 -b dc={domain},dc={domain} -D {ldap_access_credentials_username} -W '(mail={user_email})

• যদি BindDN-এর মান কোনো ওয়ার্কস্পেস ব্যবহারকারীর ইমেল ঠিকানা বা LDAP ডিস্টিংগুইশড নেম হয়, তাহলে ldapsearch সেই ব্যবহারকারীর অনুমতির ভিত্তিতে অনুসন্ধান করার জন্য তার ক্রেডেনশিয়াল ব্যবহার করবে।

  ldapsearch -H ldaps://ldap.google.com:636 -b dc={domain},dc={domain} -D {workspace_username@domain} -W '(mail={user_email})'

stunnel-এর সাথে ldapsearch ব্যবহার করুন

আপনার ডেপ্লয়মেন্টের জন্য যদি stunnel ব্যবহার করার প্রয়োজন হয়, তাহলে এই ধাপগুলো অনুসরণ করুন:

1. অ্যাডমিন কনসোলে, ldapsearch-এর জন্য প্রয়োজনীয় ইউজারনেম ও পাসওয়ার্ড তৈরি করতে অ্যাক্সেস ক্রেডেনশিয়াল জেনারেট করুন ।
2. নিম্নলিখিত কমান্ডটি ব্যবহার করুন:

   ldapsearch -x -D "{username}" -w {password} -H ldap://{stunnel_host}:{stunnel_port} -b dc={domain},dc={domain} '(mail={user_email})'

   প্লেসহোল্ডারগুলিকে নিম্নরূপে প্রতিস্থাপন করুন:

   • {username} অ্যাডমিন কনসোলে তৈরি হওয়া ক্রেডেনশিয়াল থেকে প্রাপ্ত ইউজারনেম।
   • অ্যাডমিন কনসোলে তৈরি হওয়া ক্রেডেনশিয়াল থেকে প্রাপ্ত পাসওয়ার্ড {password} ।
   • {stunnel_host} : আপনার নেটওয়ার্কে যে মেশিনে stunnel চলছে, তার আইপি অ্যাড্রেস বা হোস্টনেম।
   • {stunnel_port} : যে পোর্টে স্টানেল চলছে, আপনার স্টানেল কনফিগারেশন পরীক্ষা করুন।
   • {user_email} ডোমেইনের একজন ব্যবহারকারীর প্রাথমিক ইমেইল ঠিকানা।

ldapsearch কমান্ডের সফল দৃশ্যকল্প

ldapsearch কমান্ডটি সফলভাবে সম্পন্ন হলে, LDAP ক্লায়েন্ট তৈরির সময় নির্দিষ্ট করা ইমেলসহ ব্যবহারকারীর তালিকাটি LDIF ফরম্যাটে পাওয়া যাবে।

উদাহরণস্বরূপ:

# extended LDIF
#
# LDAPv3
# base <dc=example,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# example.com
dn: dc=example,dc=com
objectClass: top
objectClass: domain
objectClass: dcObject
dc: example

# admin-group, Groups, example.com
dn: cn=admin-group,ou=Groups,dc=example,dc=com
objectClass: top
objectClass: groupOfNames
objectClass: posixGroup
cn: admin-group
displayName: admin-group
description:
gidNumber: 12345
member: uid=admin,ou=Users,dc=example,dc=com
memberUid: admin
googleAdminCreated: FALSE

# example-user, Users, example.com
dn: uid=example-user,ou=Users,dc=example,dc=com
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: posixAccount
uid: example-user
googleUid: example-user
posixUid: example-user
cn: example-user
cn: FirstName LastName
sn: FirstName
displayName: FirstName LastName
givenName: FirstName
mail: example-user@example.com
uidNumber: 12345
gidNumber: 12345
homeDirectory: /home/example-user
loginShell: /bin/bash
gecos:

সম্ভাব্য ত্রুটি

• OpenLDAP ক্লায়েন্ট এবং/অথবা লাইব্রেরি SNI সমর্থন ছাড়াই কম্পাইল করা হয়েছে
  
  LDAP ক্লায়েন্টকে (এই ক্ষেত্রে OpenLDAP ) অবশ্যই SNI (সার্ভার নেম ইন্ডিকেশন) সমর্থন করতে হবে। যদি SNI উপলব্ধ না থাকে, তাহলে আপনি নিম্নলিখিতটির মতো একটি ত্রুটি দেখতে পারেন:
  
  SASL/EXTERNAL authentication started

ldap_sasl_interactive_bind_s: Unknown authentication method (-6)
additional info: SASL(-4): no mechanism available:
  
  সুপারিশ:
  • আপনি যদি MacOS ব্যবহার করেন, তাহলে SASL ডিফল্টরূপে সক্রিয় থাকে এবং "-x" অপশনটি ব্যবহার করে এটিকে বাইপাস করা যায়।
  • ldapsearch- এ -d5 অপশনটি যোগ করুন এবং আউটপুটে নিম্নলিখিত লাইনটি খুঁজুন:
    
    TLS certificate verification: depth: 0, err: 18, subject: /OU=No SNI provided; please fix your client.
    

• ldapsearch স্ট্যাটাস ০ (সফল) ফেরত দেয় কিন্তু কোনো ব্যবহারকারী আউটপুট হিসেবে আসে না।
  
  ক্লায়েন্ট সার্টিফিকেটের সাথে ldapsearch অপশন -x (SASL অথেন্টিকেশন ব্যবহার করুন) নির্দিষ্ট করলে সফলভাবে অথেন্টিকেট হবে, কিন্তু ডোমেইনের ব্যবহারকারীদের তালিকা দেখা যাবে না।
  
  পরামর্শ: -x অপশনটি সরিয়ে দিয়ে আবার চেষ্টা করুন।

1. ক্লায়েন্ট সার্টিফিকেটগুলো ইনস্টল করতে ldp.exe (উইন্ডোজ) -এ ১–১১ নম্বর ধাপগুলো অনুসরণ করুন।
2. কার্যক্রমে যান > সংযোগ করুন…
3. নিম্নলিখিত সংযোগ সেটিংস প্রবেশ করান:
   
   নাম: আপনার সংযোগের জন্য একটি নাম টাইপ করুন, যেমন Google LDAP ।
   সংযোগ বিন্দু: "একটি বিশিষ্ট নাম বা নামকরণের প্রেক্ষাপট নির্বাচন করুন বা টাইপ করুন"
   আপনার ডোমেইন নামটি DN ফরম্যাটে লিখুন (উদাহরণস্বরূপ, example.com এর জন্য dc=example,dc=com )।
   
   কম্পিউটার: "একটি ডোমেইন বা সার্ভার নির্বাচন করুন বা টাইপ করুন"
   ldap.google.com
   
   SSL-ভিত্তিক এনক্রিপশন ব্যবহার করুন: যাচাই করা হয়েছে
   
4. অ্যাডভান্সড... এ ক্লিক করুন এবং নিম্নলিখিত বিবরণগুলি প্রবেশ করান:
   
   পরিচয়পত্র নির্দিষ্ট করুন: যাচাই করা হয়েছে
   ইউজারনেম: অ্যাডমিন কনসোল থেকে প্রাপ্ত অ্যাক্সেস ক্রেডেনশিয়াল ইউজারনেম।
   পাসওয়ার্ড: অ্যাডমিন কনসোল থেকে প্রাপ্ত অ্যাক্সেস ক্রেডেনশিয়াল পাসওয়ার্ড।
   বন্দর নম্বর: ৬৩৬
   প্রোটোকল: এলডিএপি
   সরল বাইন্ড প্রমাণীকরণ: যাচাই করা হয়েছে
   
5. OK-তে ক্লিক করুন, এবং তারপর আবার OK-তে ক্লিক করুন।
6. সংযোগ সফল হলে, বেস ডিএন-এর ডিরেক্টরির বিষয়বস্তু ডান প্যানে প্রদর্শিত হয়।

1. OpenSSL ইনস্টল করুন।
2. সার্টিফিকেট এবং কী ফাইলগুলোকে একটি PKCS12 ফরম্যাটের ফাইলে রূপান্তর করুন। কমান্ড প্রম্পটে নিম্নলিখিতটি লিখুন:
   
   openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
   
   আউটপুট ফাইলটি এনক্রিপ্ট করতে একটি পাসওয়ার্ড দিন।
   
3. কন্ট্রোল প্যানেলে যান।
4. সার্চ বক্সে 'সার্টিফিকেট' লিখে সার্চ করুন এবং 'ম্যানেজ ইউজার সার্টিফিকেটস'-এ ক্লিক করুন।
5. অ্যাকশন > সমস্ত টাস্ক > ইম্পোর্ট-এ যান…
6. বর্তমান ব্যবহারকারীকে নির্বাচন করুন এবং পরবর্তী বোতামে ক্লিক করুন।
7. ব্রাউজ করুন… ক্লিক করুন
8. ডায়ালগ বক্সের নিচের ডান কোণায় থাকা ফাইল টাইপ ড্রপডাউন থেকে Personal Information Exchange (*.pfx;*.p12) নির্বাচন করুন।
9. ধাপ ২ থেকে ldap-client.p12 ফাইলটি নির্বাচন করুন, Open-এ ক্লিক করুন এবং তারপর Next-এ ক্লিক করুন।
10. ধাপ ২ থেকে পাসওয়ার্ডটি প্রবেশ করান এবং পরবর্তী বাটনে ক্লিক করুন।
11. ব্যক্তিগত সার্টিফিকেট স্টোরটি নির্বাচন করুন, Next-এ ক্লিক করুন এবং তারপর Finish-এ ক্লিক করুন।
12. Ldp.exe চালান।
13. কানেকশন > কানেক্ট-এ যান...
14. নিম্নলিখিত সংযোগের বিবরণ লিখুন:
    
    সার্ভার: ldap.google.com
    বন্দর: ৬৩৬
    সংযোগহীন: অপরীক্ষিত
    SSL: যাচাই করা হয়েছে
    
15. OK ক্লিক করুন।
16. ভিউ > ট্রি- তে যান।
17. বেস ডিএন (base DN) লিখুন। এটি হলো ডিএন ফরম্যাটে আপনার ডোমেইন নেম। (উদাহরণস্বরূপ, example.com- এর জন্য dc=example,dc=com )।
18. OK ক্লিক করুন।
19. সংযোগ সফল হলে, বেস ডিএন-এর ডিরেক্টরির বিষয়বস্তু ডান প্যানে প্রদর্শিত হয়।