Konnektivität für Secure LDAP testen

Führen Sie mithilfe des Dienstprogramms ldapsearch über eine Befehlszeile eine einfache LDAP-Abfrage aus. Ist sie erfolgreich und liefert ein Ergebnis, wissen Sie, dass der LDAP-Client und die zugrunde liegenden TLS-Sitzungen und TCP-Verbindungen wie vorgesehen funktionieren.

So testen Sie die Konnektivität mit ldapsearch:

1. Erstellen Sie eine LDAP-Konfiguration und laden Sie das Zertifikat herunter. Folgen Sie dazu der Anleitung unter LDAP-Clients hinzufügen.

   Hinweis:Sorgen Sie zur Vereinfachung der Testumgebung dafür, dass die Organisationseinheit, für die Sie den Zugriff durch den LDAP-Client erlauben, mindestens einen Nutzer enthält.

2. Führen Sie eine LDAP-Abfrage aus. In diesem Beispiel wird ein bestimmter Nutzer abgefragt. Weitere Informationen finden Sie auf der Website OpenLDAP ldapsearch.

   LDAPTLS_CERT={crt_file} LDAPTLS_KEY={key_file} ldapsearch -H ldaps://ldap.google.com:636 -b dc={domain},dc={domain} '(mail={user_email})'

   Ersetzen Sie die Platzhalter so:

   • {crt_file}: Name der CRT-Datei
   • {key_file}: Dateiname der Schlüsseldatei
   • {domain}: die einzelnen Teile des Domainnamens; bei „beispiel.de“ also „dc=beispiel,dc=de“
   • {user_email}: primäre E-Mail-Adresse eines Nutzers in der Domain

Hinweise zur Verwendung von „ldapsearch“

• Wenn kein BindDN-Wert angegeben wird, verwendet ldapsearch den Schlüssel und das Zertifikat, um die Suche zu autorisieren.
• Wenn der BindDN-Wert ein LDAP-Nutzername ist, den Sie in der Admin-Konsole generiert haben, verwendet „ldapsearch“ die Berechtigungen des LDAP-Clients, wie in der Admin-Konsole konfiguriert.

  ldapsearch -H ldaps://ldap.google.com:636 -b dc={domain},dc={domain} -D {ldap_access_credentials_username} -W '(mail={user_email})

• Wenn der BindDN-Wert eine E-Mail-Adresse oder ein LDAP-Distinguished Name eines Workspace-Nutzers ist, verwendet „ldapsearch“ die Anmeldedaten dieses Nutzers, um basierend auf seinen Berechtigungen zu suchen.

  ldapsearch -H ldaps://ldap.google.com:636 -b dc={domain},dc={domain} -D {workspace_username@domain} -W '(mail={user_email})'

ldapsearch zusammen mit Stunnel verwenden

Wenn Ihre Bereitstellung stunnel erfordert, gehen Sie so vor:

1. Generieren Sie in der Admin-Konsole Anmeldedaten, um den Nutzernamen und das Passwort zu erstellen, die für ldapsearch erforderlich sind.
2. Verwenden Sie den folgenden Befehl:

   ldapsearch -x -D "{username}" -w {password} -H ldap://{stunnel_host}:{stunnel_port} -b dc={domain},dc={domain} '(mail={user_email})'

   Ersetzen Sie die Platzhalter so:

   • {username}: Nutzername aus den generierten Anmeldedaten in der Admin-Konsole
   • {password}: Das Passwort aus den generierten Anmeldedaten in der Admin-Konsole
   • {stunnel_host} :: IP-Adresse oder Hostname der Maschine, auf der Stunnel in Ihrem Netzwerk ausgeführt wird.
   • {stunnel_port} :: Port, an dem Stunnel ausgeführt wird, prüfen Sie Ihre Stunnel-Konfiguration
   • {user_email}: primäre E-Mail-Adresse eines Nutzers in der Domain

Szenario: Abfrage mit ldapsearch erfolgreich

Wird der Befehl ldapsearch erfolgreich ausgeführt, enthält die Antwort den beim Erstellen des LDAP-Clients angegebenen Nutzernamen mit der E-Mail-Adresse im LDIF-Format.

Beispiel:

# extended LDIF
#
# LDAPv3
# base <dc=example,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# example.com
dn: dc=example,dc=com
objectClass: top
objectClass: domain
objectClass: dcObject
dc: example

# admin-group, Groups, example.com
dn: cn=admin-group,ou=Groups,dc=example,dc=com
objectClass: top
objectClass: groupOfNames
objectClass: posixGroup
cn: admin-group
displayName: admin-group
description:
gidNumber: 12345
member: uid=admin,ou=Users,dc=example,dc=com
memberUid: admin
googleAdminCreated: FALSE

# example-user, Users, example.com
dn: uid=example-user,ou=Users,dc=example,dc=com
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: posixAccount
uid: example-user
googleUid: example-user
posixUid: example-user
cn: example-user
cn: FirstName LastName
sn: FirstName
displayName: FirstName LastName
givenName: FirstName
mail: example-user@example.com
uidNumber: 12345
gidNumber: 12345
homeDirectory: /home/example-user
loginShell: /bin/bash
gecos:

Mögliche Fehler

• Der OpenLDAP-Client und/oder die ‑Bibliothek wurden ohne SNI-Unterstützung kompiliert
  
  SNI (Server Name Indication) muss vom LDAP-Client, in diesem Fall OpenLDAP, unterstützt werden. Ist SNI nicht verfügbar, wird möglicherweise ein ähnlicher Fehler wie dieser angezeigt:
  
  SASL/EXTERNAL authentication started

ldap_sasl_interactive_bind_s: Unknown authentication method (-6)
additional info: SASL(-4): no mechanism available:
  
  Empfehlung:
  • Wenn Sie MacOS verwenden, ist SASL standardmäßig aktiviert und kann mit der Option „-x“ umgangen werden.
  • Fügen Sie dem Befehl ldapsearch die Option -d5 hinzu und suchen Sie in der Ausgabe nach der folgenden Zeile:
    
    TLS certificate verification: depth: 0, err: 18, subject: /OU=No SNI provided; please fix your client.
    

• ldapsearch gibt Status 0 zurück (Erfolg), aber es werden keine Nutzer ausgegeben
  
  Wenn Sie bei Clientzertifikaten für ldapsearch die Option -x (SASL-Authentifizierung verwenden) nutzen, wird die Authentifizierung ausgeführt, aber es werden keine Domainnutzer aufgelistet.
  
  Empfehlung:Entfernen Sie die Option -x und versuchen Sie es noch einmal.

1. Führen Sie die Schritte 1–11 des Abschnitts ldp.exe (Windows) aus, um die Clientzertifikate zu installieren.
2. Gehen Sie zu Action > Connect to… (Aktion > Verbinden mit…).
3. Geben Sie die folgenden Verbindungseinstellungen ein:
   
   Name:Geben Sie einen Namen für Ihre Verbindung ein, z. B. Google LDAP.
   Connection Point (Verbindungspunkt): Gehen Sie zum Abschnitt „Select or type a Distinguished Name or Naming Context“ (Distinguished Name oder Namenskontext auswählen oder eingeben).
   Geben Sie Ihren Domainnamen im DN-Format ein, z. B. dc=beispiel,dc=de für beispiel.de.
   
   Computer:Gehen Sie zum Abschnitt „Select or type a domain or server“ (Domain oder Server auswählen oder eingeben).
   ldap.google.com
   
   Use SSL-based Encryption (SSL-basierte Verschlüsselung verwenden): aktiviert
   
4. Klicken Sie auf Erweitert… und geben Sie die folgenden Details ein:
   
   Anmeldedaten angeben:Aktiviert
   Nutzername:Der Nutzername der Anmeldedaten aus der Admin-Konsole
   Passwort:Das Passwort der Anmeldedaten aus der Admin-Konsole
   Portnummer:636
   Protokoll:LDAP
   Einfache Bind-Authentifizierung:Aktiviert
   
5. Klicken Sie auf OK und dann noch einmal auf OK.
6. Wenn die Verbindung erfolgreich war, werden im rechten Fensterbereich die Inhalte des Verzeichnisses im Basis-DN angezeigt.

1. Installieren Sie OpenSSL.
2. Konvertieren Sie die Zertifikats- und Schlüsseldateien in eine Datei im PKCS12-Format. Geben Sie bei der Eingabeaufforderung Folgendes ein:
   
   openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
   
   Geben Sie ein Passwort ein, um die Ausgabedatei zu verschlüsseln.
   
3. Rufen Sie das Steuerfeld auf.
4. Geben Sie in das Suchfeld den Begriff „certificate“ (Zertifikat) ein und klicken Sie auf Manage user certificates (Nutzerzertifikate verwalten).
5. Gehen Sie zu Action > All Tasks > Import… (Aktion > Alle Aufgaben > Importieren…).
6. Wählen Sie Current User (Aktueller Nutzer) aus und klicken Sie auf Next (Weiter).
7. Klicken Sie auf Browse… (Durchsuchen…).
8. Wählen Sie rechts unten im Dialogfeld über die Drop-down-Liste file type (Dateityp) die Option Personal Information Exchange (*.pfx;*.p12) (Austausch personenbezogener Daten (*.pfx;*.p12)) aus.
9. Wählen Sie die in Schritt 2 erstellte Datei ldap-client.p12 aus. Klicken Sie auf Öffnen und dann auf Weiter.
10. Geben Sie das Passwort aus Schritt 2 ein und klicken Sie auf Weiter.
11. Wählen Sie für „certificate store“ (Zertifikatsspeicher) den Typ Personal (Privat) aus, klicken Sie auf Next (Weiter) und dann auf Finish (Beenden).
12. Führen Sie Ldp.exe aus.
13. Gehen Sie zu Connection > Connect… (Verbindung > Verbinden…).
14. Geben Sie die folgenden Verbindungsdetails ein:
    
    Server:ldap.google.com
    Port:636
    Connectionless (ohne Verbindung): nicht aktiviert
    SSL:aktiviert
    
15. Klicken Sie auf OK.
16. Gehen Sie zu View > Tree (Ansicht > Baum).
17. Geben Sie den Basis-DN ein. Das ist Ihr Domainname im DN-Format. (z. B. dc=beispiel,dc=de für example.com)
18. Klicken Sie auf OK.
19. Wenn die Verbindung erfolgreich war, werden im rechten Fensterbereich die Inhalte des Verzeichnisses im Basis-DN angezeigt.