Testowanie połączeń z usługą Bezpieczny LDAP

Za pomocą narzędzia ldapsearch możesz utworzyć w wierszu poleceń podstawowe zapytanie LDAP. Pomyślny wynik zapytania LDAP wskazuje, że klient LDAP, sesja TLS i połączenie TCP działają prawidłowo.

Aby przetestować łączność za pomocą narzędzia ldapsearch:

1. Utwórz konfigurację LDAP i pobierz certyfikat, postępując zgodnie z instrukcjami w artykule Dodawanie klientów LDAP.

   Uwaga: aby uprościć środowisko testowe, upewnij się, że w jednostce organizacyjnej, dla której autoryzujesz dostęp klienta LDAP, istnieje co najmniej jedno konto użytkownika.

2. Wykonaj zapytanie LDAP. W tym przykładzie wykonujemy zapytanie dotyczące konkretnego użytkownika (więcej informacji znajdziesz w instrukcji OpenLDAP ldapsearch).

   LDAPTLS_CERT={crt_file} LDAPTLS_KEY={key_file} ldapsearch -H ldaps://ldap.google.com:636 -b dc={domain},dc={domain} '(mail={user_email})'

   Zastąp obiekty zastępcze w ten sposób:

   • {crt_file} Nazwa pliku .crt
   • {key_file} Nazwa pliku .key
   • {domain} Każda część nazwy domeny, np. example.com, zostanie przekształcona w „dc=example,dc=com”.
   • {user_email} Podstawowy adres e-mail użytkownika w domenie.

Uwagi dotyczące korzystania z narzędzia ldapsearch

• Jeśli nie podasz wartości BindDN, ldapsearch użyje klucza i certyfikatu do autoryzacji wyszukiwania.
• Jeśli wartość BindDN to nazwa użytkownika LDAP wygenerowana w konsoli administracyjnej, polecenie ldapsearch będzie używać uprawnień klienta LDAP skonfigurowanych w konsoli administracyjnej.

  ldapsearch -H ldaps://ldap.google.com:636 -b dc={domain},dc={domain} -D {ldap_access_credentials_username} -W '(mail={user_email})

• Jeśli wartość BindDN jest adresem e-mail lub nazwą wyróżniającą LDAP użytkownika Workspace, polecenie ldapsearch użyje danych logowania tego użytkownika do wyszukiwania na podstawie jego uprawnień.

  ldapsearch -H ldaps://ldap.google.com:636 -b dc={domain},dc={domain} -D {workspace_username@domain} -W '(mail={user_email})'

Używanie narzędzia ldapsearch z programem stunnel

Jeśli wdrożenie wymaga zastosowania stunnel, wykonaj te czynności:

1. W konsoli administracyjnej wygeneruj dane logowania, aby uzyskać nazwę użytkownika i hasło potrzebne do ldapsearch.
2. Użyj tego polecenia:

   ldapsearch -x -D "{username}" -w {password} -H ldap://{stunnel_host}:{stunnel_port} -b dc={domain},dc={domain} '(mail={user_email})'

   Zastąp obiekty zastępcze w ten sposób:

   • {username} Nazwa użytkownika z wygenerowanych danych logowania w konsoli administracyjnej
   • {password} Hasło z wygenerowanych danych logowania w konsoli administracyjnej
   • {stunnel_host} : adres IP lub nazwa hosta komputera, na którym uruchomiono program stunnel w Twojej sieci;
   • {stunnel_port} : port, na którym działa program stunnel – sprawdź konfigurację programu.
   • {user_email} Podstawowy adres e-mail użytkownika w domenie

Scenariusz z pomyślnym wynikiem polecenia ldapsearch

Pomyślne dane wyjściowe polecenia ldapsearch będą zawierać nazwę użytkownika wraz z adresem e-mail (określonym podczas tworzenia klienta LDAP) w formacie LDIF.

Na przykład:

# extended LDIF
#
# LDAPv3
# base <dc=example,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# example.com
dn: dc=example,dc=com
objectClass: top
objectClass: domain
objectClass: dcObject
dc: example

# admin-group, Groups, example.com
dn: cn=admin-group,ou=Groups,dc=example,dc=com
objectClass: top
objectClass: groupOfNames
objectClass: posixGroup
cn: admin-group
displayName: admin-group
description:
gidNumber: 12345
member: uid=admin,ou=Users,dc=example,dc=com
memberUid: admin
googleAdminCreated: FALSE

# example-user, Users, example.com
dn: uid=example-user,ou=Users,dc=example,dc=com
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: posixAccount
uid: example-user
googleUid: example-user
posixUid: example-user
cn: example-user
cn: FirstName LastName
sn: FirstName
displayName: FirstName LastName
givenName: FirstName
mail: example-user@example.com
uidNumber: 12345
gidNumber: 12345
homeDirectory: /home/example-user
loginShell: /bin/bash
gecos:

Możliwe błędy

• Biblioteka lub klient OpenLDAP zostały skompilowane bez obsługi rozszerzenia SNI
  
  Klient LDAP musi obsługiwać rozszerzenie SNI (Server Name Indication), czyli w tym przypadku – OpenLDAP. Jeśli usługa SNI jest niedostępna, może pojawić się błąd podobny do następującego:
  
  SASL/EXTERNAL authentication started

ldap_sasl_interactive_bind_s: Unknown authentication method (-6)
additional info: SASL(-4): no mechanism available:
  
  Rekomendacja:
  • Jeśli używasz systemu macOS, mechanizm SASL jest domyślnie włączony i można go ominąć za pomocą opcji „-x”.
  • Dodaj opcję -d5 do polecenia ldapsearch i poszukaj w danych wyjściowych następującego wiersza:
    
    TLS certificate verification: depth: 0, err: 18, subject: /OU=No SNI provided; please fix your client.
    

• Narzędzie ldapsearch zwróci stan 0 (powodzenie), ale w danych wyjściowych nie będzie żadnego użytkownika.
  
  Dodanie opcji -x (użyj uwierzytelniania SASL) przy wykorzystaniu certyfikatów klienta spowoduje uwierzytelnienie, ale nie wyświetli listy użytkowników w domenie.
  
  Rekomendacja: usuń opcję -x i spróbuj ponownie.

1. Wykonaj kroki 1–11 podane w sekcji Narzędzie ldp.exe (Windows), aby zainstalować certyfikaty klienta.
2. Otwórz Akcja > Połącz z…
3. Wpisz te ustawienia połączenia:
   
   Nazwa: wpisz nazwę połączenia, na przykład Google LDAP.
   Punkt połączenia: „Wybierz lub wpisz nazwę wyróżniającą bądź kontekst nazewnictwa”.
   Wpisz nazwę domeny w formacie nazwy wyróżniającej (na przykład dc=example,dc=com w przypadku domeny example.com).
   
   Komputer: „Wybierz lub wpisz domenę bądź serwer”.
   ldap.google.com
   
   Użyj szyfrowania SSL: zaznaczone
   
4. Kliknij Zaawansowane... i wpisz te dane:
   
   Określ dane logowania: zaznaczone
   Nazwa użytkownika: nazwa użytkownika z danych logowania z konsoli administracyjnej
   Hasło: hasło z danych logowania z konsoli administracyjnej
   Numer portu: 636
   Protokół: LDAP
   Proste uwierzytelnianie powiązania: zaznaczone
   
5. Kliknij OK, a następnie ponownie kliknij OK.
6. Jeśli uda się nawiązać łączność, w prawym okienku zostanie wyświetlona zawartość katalogu w obszarze podstawowej nazwy wyróżniającej.

1. Zainstaluj OpenSSL.
2. Przekonwertuj plik certyfikatu i plik klucza na jeden plik w formacie PKCS12. W wierszu poleceń wpisz:
   
   openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
   
   Wpisz hasło, aby zaszyfrować plik wyjściowy.
   
3. Otwórz Panel sterowania.
4. W polu wyszukiwania wyszukaj „certyfikat” i kliknij Zarządzaj certyfikatami użytkowników.
5. Otwórz Akcja > Wszystkie zadania > Importuj…
6. Wybierz Bieżący użytkownik i kliknij Dalej.
7. Kliknij Przeglądaj…
8. Z listy typów plików w prawym dolnym rogu okna wybierz Wymiana informacji osobistych (*.pfx;*.p12).
9. Wybierz plik ldap-client.p12 z kroku 2, kliknij Otwórz, a następnie kliknij Dalej.
10. Wpisz hasło z kroku 2 i kliknij Dalej.
11. Wybierz magazyn certyfikatów Osobisty, kliknij Dalej, a następnie kliknij Zakończ.
12. Uruchom Ldp.exe.
13. Otwórz Połączenie > Połącz…
14. Wpisz te dane połączenia:
    
    Serwer: ldap.google.com
    Port: 636
    Bez połączenia: niezaznaczone
    SSL: zaznaczone
    
15. Kliknij OK.
16. Otwórz Widok > Drzewo.
17. Wpisz podstawową nazwę wyróżniającą. Jest to nazwa domeny w formacie DN. (na przykład dc=example,dc=com w przypadku domeny example.com).
18. Kliknij OK.
19. Jeśli uda się nawiązać łączność, w prawym okienku zostanie wyświetlona zawartość katalogu w obszarze podstawowej nazwy wyróżniającej.