নিরাপদ LDAP সংযোগ পরীক্ষা

একটি মৌলিক LDAP কোয়েরি তৈরি করতে কমান্ড লাইন থেকে ldapsearch ইউটিলিটি ব্যবহার করুন। একটি সফল LDAP কোয়েরি ফলাফল নির্দেশ করে যে LDAP ক্লায়েন্ট এবং অন্তর্নিহিত TLS সেশন এবং TCP সংযোগটি ইচ্ছাকৃতভাবে কাজ করছে।

ldapsearch এর সাথে সংযোগ পরীক্ষা করতে:

1. একটি LDAP কনফিগারেশন তৈরি করুন এবং LDAP ক্লায়েন্ট যোগ করুন এর নির্দেশাবলী অনুসরণ করে সার্টিফিকেটটি ডাউনলোড করুন।

   দ্রষ্টব্য: পরীক্ষার পরিবেশ সহজ করার জন্য, নিশ্চিত করুন যে আপনি যে সাংগঠনিক ইউনিটের জন্য LDAP ক্লায়েন্ট অ্যাক্সেস অনুমোদন করেছেন সেখানে কমপক্ষে একজন ব্যবহারকারী আছেন।

2. একটি LDAP কোয়েরি সম্পাদন করুন। এই উদাহরণটি একটি নির্দিষ্ট ব্যবহারকারীকে কোয়েরি করে (আরও বিস্তারিত জানার জন্য, OpenLDAP ldapsearch দেখুন)।

   LDAPTLS_CERT={crt_file} LDAPTLS_KEY={key_file} ldapsearch -H ldaps://ldap.google.com:636 -b dc={domain},dc={domain} '(mail={user_email})'

   স্থানধারকগুলি নিম্নরূপে প্রতিস্থাপন করুন:

   • {crt_file} .crt ফাইলের নাম
   • {key_file} .key ফাইলের ফাইলের নাম
   • {domain} ডোমেন নামের প্রতিটি অংশ, উদাহরণস্বরূপ: example.com "dc=example,dc=com" হয়ে যাবে।
   • {user_email} ডোমেনের একজন ব্যবহারকারীর প্রাথমিক ইমেল ঠিকানা।

ldapsearch ব্যবহারের বিষয়ে নোটস

• যদি কোন BindDN মান প্রদান করা না থাকে, তাহলে ldapsearch অনুসন্ধান অনুমোদনের জন্য কী এবং সার্টিফিকেট ব্যবহার করে।
• যদি BindDN মানটি একটি LDAP ব্যবহারকারীর নাম হয় যা আপনি অ্যাডমিন কনসোলে তৈরি করেছেন , তাহলে ldapsearch অ্যাডমিন কনসোলে কনফিগার করা LDAP ক্লায়েন্টের অনুমতি ব্যবহার করবে।

  ldapsearch -H ldaps://ldap.google.com:636 -b dc={domain},dc={domain} -D {ldap_access_credentials_username} -W '(mail={user_email})

• যদি BindDN মানটি কোনও ওয়ার্কস্পেস ব্যবহারকারীর ইমেল ঠিকানা বা LDAP বিশিষ্ট নাম হয়, তাহলে ldapsearch সেই ব্যবহারকারীর অনুমতির ভিত্তিতে অনুসন্ধানের জন্য তার শংসাপত্র ব্যবহার করবে।

  ldapsearch -H ldaps://ldap.google.com:636 -b dc={domain},dc={domain} -D {workspace_username@domain} -W '(mail={user_email})'

স্টানেলের সাথে ldapsearch ব্যবহার করুন

যদি আপনার স্থাপনার জন্য stunnel ব্যবহার করার প্রয়োজন হয়, তাহলে এই পদক্ষেপগুলি অনুসরণ করুন:

1. অ্যাডমিন কনসোলে, ldapsearch-এর প্রয়োজনীয় ব্যবহারকারীর নাম এবং পাসওয়ার্ড তৈরি করতে অ্যাক্সেস শংসাপত্র তৈরি করুন ।
2. নিম্নলিখিত কমান্ডটি ব্যবহার করুন:

   ldapsearch -x -D "{username}" -w {password} -H ldap://{stunnel_host}:{stunnel_port} -b dc={domain},dc={domain} '(mail={user_email})'

   স্থানধারকগুলি নিম্নরূপে প্রতিস্থাপন করুন:

   • অ্যাডমিন কনসোলে তৈরি করা শংসাপত্র থেকে {username} ব্যবহারকারীর নাম
   • {password} অ্যাডমিন কনসোলে তৈরি শংসাপত্র থেকে পাসওয়ার্ড
   • {stunnel_host} : আপনার নেটওয়ার্কে stunnel চলমান মেশিনের IP ঠিকানা বা হোস্টনাম।
   • {stunnel_port} : যে পোর্টে stunnel চলছে, আপনার stunnel কনফিগারেশন পরীক্ষা করুন।
   • {user_email} ডোমেনের একজন ব্যবহারকারীর প্রাথমিক ইমেল ঠিকানা

ldapsearch কমান্ডের সফল দৃশ্যকল্প

ldapsearch কমান্ডের একটি সফল আউটপুট ব্যবহারকারীর ইমেল ঠিকানা (LDAP ক্লায়েন্ট তৈরি করার সময় নির্দিষ্ট করা হয়েছে) LDIF ফর্ম্যাটে তালিকাভুক্ত করবে।

উদাহরণস্বরূপ:

# extended LDIF
#
# LDAPv3
# base <dc=example,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# example.com
dn: dc=example,dc=com
objectClass: top
objectClass: domain
objectClass: dcObject
dc: example

# admin-group, Groups, example.com
dn: cn=admin-group,ou=Groups,dc=example,dc=com
objectClass: top
objectClass: groupOfNames
objectClass: posixGroup
cn: admin-group
displayName: admin-group
description:
gidNumber: 12345
member: uid=admin,ou=Users,dc=example,dc=com
memberUid: admin
googleAdminCreated: FALSE

# example-user, Users, example.com
dn: uid=example-user,ou=Users,dc=example,dc=com
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: posixAccount
uid: example-user
googleUid: example-user
posixUid: example-user
cn: example-user
cn: FirstName LastName
sn: FirstName
displayName: FirstName LastName
givenName: FirstName
mail: example-user@example.com
uidNumber: 12345
gidNumber: 12345
homeDirectory: /home/example-user
loginShell: /bin/bash
gecos:

সম্ভাব্য ত্রুটি

• OpenLDAP ক্লায়েন্ট এবং/অথবা লাইব্রেরি SNI সমর্থন ছাড়াই কম্পাইল করা হয়
  
  SNI (সার্ভার নেম ইন্ডিকেশন) LDAP ক্লায়েন্ট দ্বারা সমর্থিত হওয়া আবশ্যক (এই ক্ষেত্রে OpenLDAP )। যদি SNI উপলব্ধ না থাকে, তাহলে আপনি নিম্নলিখিতগুলির মতো একটি ত্রুটি দেখতে পাবেন:
  
  SASL/EXTERNAL authentication started

ldap_sasl_interactive_bind_s: Unknown authentication method (-6)
additional info: SASL(-4): no mechanism available:
  
  সুপারিশ:
  • আপনি যদি MacOS ব্যবহার করেন, তাহলে SASL ডিফল্টরূপে সক্রিয় থাকে এবং "-x" বিকল্পটি ব্যবহার করে এটিকে বাইপাস করা যেতে পারে।
  • ldapsearch- এ -d5 বিকল্পটি যোগ করুন এবং নিম্নলিখিত লাইনের আউটপুট পরীক্ষা করুন:
    
    TLS certificate verification: depth: 0, err: 18, subject: /OU=No SNI provided; please fix your client.
    

• ldapsearch স্ট্যাটাস 0 (সফল) ফেরত দেয় কিন্তু কোনও ব্যবহারকারী আউটপুট পায় না
  
  ক্লায়েন্ট সার্টিফিকেটের সাথে ldapsearch বিকল্প -x (SASL প্রমাণীকরণ ব্যবহার করুন) নির্দিষ্ট করলে সফলভাবে প্রমাণীকরণ হবে কিন্তু ডোমেনে ব্যবহারকারীদের তালিকাভুক্ত করা হবে না।
  
  সুপারিশ: -x বিকল্পটি সরিয়ে আবার চেষ্টা করুন।

1. ক্লায়েন্ট সার্টিফিকেট ইনস্টল করতে ldp.exe (উইন্ডোজ) এর ১-১১ ধাপ অনুসরণ করুন।
2. অ্যাকশন > কানেক্ট টু…-এ যান।
3. নিম্নলিখিত সংযোগ সেটিংস লিখুন:
   
   নাম: আপনার সংযোগের জন্য একটি নাম টাইপ করুন, যেমন Google LDAP ।
   সংযোগ বিন্দু: "একটি বিশিষ্ট নাম বা নামকরণ প্রসঙ্গ নির্বাচন করুন বা টাইপ করুন"
   আপনার ডোমেইন নামটি DN ফর্ম্যাটে লিখুন (উদাহরণস্বরূপ, dc=example,dc=com example.com )।
   
   কম্পিউটার: "একটি ডোমেন বা সার্ভার নির্বাচন করুন বা টাইপ করুন"
   ldap.google.com সম্পর্কে
   
   SSL-ভিত্তিক এনক্রিপশন ব্যবহার করুন: চেক করা হয়েছে
   
4. Advanced... এ ক্লিক করুন, এবং নিম্নলিখিত বিবরণ লিখুন:
   
   শংসাপত্র নির্দিষ্ট করুন: চেক করা হয়েছে
   ব্যবহারকারীর নাম: অ্যাডমিন কনসোল থেকে অ্যাক্সেস শংসাপত্র ব্যবহারকারীর নাম
   পাসওয়ার্ড: অ্যাডমিন কনসোল থেকে অ্যাক্সেস ক্রেডেনশিয়াল পাসওয়ার্ড
   পোর্ট নম্বর: ৬৩৬
   প্রোটোকল: LDAP
   সহজ বাইন্ড প্রমাণীকরণ: চেক করা হয়েছে
   
5. ঠিক আছে ক্লিক করুন, এবং তারপর আবার ঠিক আছে ক্লিক করুন।
6. যদি সংযোগ সফল হয়, তাহলে বেস DN-এর ডিরেক্টরি বিষয়বস্তু ডান প্যানেলে প্রদর্শিত হবে।

1. OpenSSL ইনস্টল করুন।
2. সার্টিফিকেট এবং কী ফাইলগুলিকে একটি PKCS12 ফর্ম্যাট করা ফাইলে রূপান্তর করুন। একটি কমান্ড প্রম্পটে, নিম্নলিখিতটি লিখুন:
   
   openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
   
   আউটপুট ফাইল এনক্রিপ্ট করার জন্য একটি পাসওয়ার্ড লিখুন।
   
3. কন্ট্রোল প্যানেলে যান।
4. অনুসন্ধান বাক্সে, "certificate" অনুসন্ধান করুন এবং ব্যবহারকারীর সার্টিফিকেট পরিচালনা করুন এ ক্লিক করুন।
5. অ্যাকশন > সকল কাজ > আমদানি... এ যান।
6. বর্তমান ব্যবহারকারী নির্বাচন করুন, এবং পরবর্তী ক্লিক করুন।
7. ব্রাউজ করুন... এ ক্লিক করুন।
8. ডায়ালগ বক্সের নীচের ডান কোণে ফাইল টাইপ ড্রপডাউনে, ব্যক্তিগত তথ্য বিনিময় (*.pfx;*.p12) নির্বাচন করুন।
9. ধাপ ২ থেকে ldap-client.p12 ফাইলটি নির্বাচন করুন, Open এ ক্লিক করুন, এবং তারপর Next এ ক্লিক করুন।
10. ধাপ ২ থেকে পাসওয়ার্ডটি প্রবেশ করান এবং পরবর্তী ক্লিক করুন।
11. ব্যক্তিগত সার্টিফিকেট স্টোর নির্বাচন করুন, পরবর্তী ক্লিক করুন, এবং তারপর শেষ ক্লিক করুন।
12. Ldp.exe চালান।
13. সংযোগ > সংযোগ করুন... এ যান।
14. নিম্নলিখিত সংযোগের বিবরণ লিখুন:
    
    সার্ভার: ldap.google.com
    পোর্ট: ৬৩৬
    সংযোগহীন: চেক করা হয়নি
    SSL: চেক করা হয়েছে
    
15. ঠিক আছে ক্লিক করুন।
16. ভিউ > ট্রি- তে যান।
17. বেস DN লিখুন। এটি আপনার DN ফর্ম্যাটে ডোমেন নাম। (উদাহরণস্বরূপ, dc=example,dc=com example.com এর জন্য)।
18. ঠিক আছে ক্লিক করুন।
19. যদি সংযোগ সফল হয়, তাহলে বেস DN-এর ডিরেক্টরি বিষয়বস্তু ডান প্যানেলে প্রদর্শিত হবে।