Teste de conectividade do LDAP seguro

Use o utilitário ldapsearch em uma linha de comando para fazer uma consulta LDAP básica. Quando uma consulta LDAP é executada corretamente, isso indica que tanto o cliente LDAP quanto a sessão TLS e a conexão TCP subjacentes estão funcionando conforme o esperado.

Para testar a conectividade com o ldapsearch:

1. Crie uma configuração LDAP e faça o download do certificado seguindo as instruções em Adicionar clientes LDAP.

   Observação:para simplificar o ambiente de teste, confirme que há pelo menos um usuário na unidade organizacional que terá acesso ao cliente LDAP.

2. Faça uma consulta LDAP. Este exemplo consulta um usuário específico. Para mais detalhes, consulte OpenLDAP ldapsearch.

   LDAPTLS_CERT={crt_file} LDAPTLS_KEY={key_file} ldapsearch -H ldaps://ldap.google.com:636 -b dc={domain},dc={domain} '(mail={user_email})'

   Substitua os marcadores da seguinte forma:

   • {crt_file}: o nome do arquivo .crt
   • {key_file}: o nome do arquivo .key
   • {domain}: cada parte do nome de domínio. Por exemplo, "example.com" se torna "dc=example,dc=com".
   • {user_email}: endereço de e-mail principal de um usuário no domínio.

Observações sobre o uso do ldapsearch

• Se nenhum valor de BindDN for fornecido, o ldapsearch usará a chave e o certificado para autorizar a pesquisa.
• Se o valor de BindDN for um nome de usuário LDAP gerado no Admin Console, o ldapsearch usará as permissões do cliente LDAP conforme configurado no Admin Console.

  ldapsearch -H ldaps://ldap.google.com:636 -b dc={domain},dc={domain} -D {ldap_access_credentials_username} -W '(mail={user_email})

• Se o valor de BindDN for um endereço de e-mail ou um nome diferenciado LDAP de um usuário do Workspace, o ldapsearch usará as credenciais desse usuário para pesquisar com base nas permissões dele.

  ldapsearch -H ldaps://ldap.google.com:636 -b dc={domain},dc={domain} -D {workspace_username@domain} -W '(mail={user_email})'

Usar a ferramenta ldapsearch com o stunnel

Se sua implantação exigir o stunnel, siga estas etapas:

1. No Admin Console, gere credenciais de acesso para produzir o nome de usuário e a senha necessários para o ldapsearch.
2. Use o comando a seguir:

   ldapsearch -x -D "{username}" -w {password} -H ldap://{stunnel_host}:{stunnel_port} -b dc={domain},dc={domain} '(mail={user_email})'

   Substitua os marcadores da seguinte forma:

   • {username}: nome de usuário das credenciais geradas no Admin Console
   • Senha {password} das credenciais geradas no Admin Console
   • {stunnel_host} :: o endereço IP ou o nome do host da máquina que executa o stunnel na sua rede.
   • {stunnel_port} :: a porta em que o stunnel está sendo executado. Verifique a configuração do stunnel.
   • {user_email}: endereço de e-mail principal de um usuário no domínio

Comando ldapsearch executado corretamente

Quando executado corretamente, o comando ldapsearch lista o usuário com o e-mail (conforme especificado ao criar o cliente LDAP) no formato LDIF.

Exemplo:

# extended LDIF
#
# LDAPv3
# base <dc=example,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# example.com
dn: dc=example,dc=com
objectClass: top
objectClass: domain
objectClass: dcObject
dc: example

# admin-group, Groups, example.com
dn: cn=admin-group,ou=Groups,dc=example,dc=com
objectClass: top
objectClass: groupOfNames
objectClass: posixGroup
cn: admin-group
displayName: admin-group
description:
gidNumber: 12345
member: uid=admin,ou=Users,dc=example,dc=com
memberUid: admin
googleAdminCreated: FALSE

# example-user, Users, example.com
dn: uid=example-user,ou=Users,dc=example,dc=com
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: posixAccount
uid: example-user
googleUid: example-user
posixUid: example-user
cn: example-user
cn: FirstName LastName
sn: FirstName
displayName: FirstName LastName
givenName: FirstName
mail: example-user@example.com
uidNumber: 12345
gidNumber: 12345
homeDirectory: /home/example-user
loginShell: /bin/bash
gecos:

Possíveis erros

• O cliente e/ou a biblioteca do OpenLDAP são compilados sem SNI
  
  O cliente LDAP (neste caso, o OpenLDAP) precisa permitir a indicação de nome de servidor (SNI, na sigla em inglês). Se o SNI não estiver disponível, você poderá ver um erro semelhante a este:
  
  SASL/EXTERNAL authentication started

ldap_sasl_interactive_bind_s: Unknown authentication method (-6)
additional info: SASL(-4): no mechanism available:
  
  Recomendação:
  • Se você usa o MacOS, o SASL será ativado por padrão e poderá ser ignorado com a opção "-x".
  • Adicione a opção -d5 ao ldapsearch e verifique se esta linha aparece no resultado:
    
    TLS certificate verification: depth: 0, err: 18, subject: /OU=No SNI provided; please fix your client.
    

• O ldapsearch retorna o status 0 (sucesso), mas sem usuários
  
  Especificar a opção -x do ldapsearch (que usa a autenticação SASL) com certificados de cliente concluirá a autenticação, mas nenhum usuário no domínio será listado.
  
  Recomendação:remova a opção -x e tente de novo.

1. Siga as etapas de 1 a 11 em ldp.exe (Windows) para instalar os certificados do cliente.
2. Acesse Action > Connect to….
3. Digite as seguintes configurações de conexão:
   
   Nome:digite um nome para sua conexão, como LDAP do Google.
   Ponto de conexão: "Selecionar ou digitar um nome distinto ou contexto de nomenclatura"
   Digite seu nome de domínio no formato DN (por exemplo, dc=example,dc=com para example.com).
   
   Computador: "Selecionar ou digitar um domínio ou servidor"
   ldap.google.com
   
   Usar criptografia baseada em SSL:marcada
   
4. Clique em Avançado... e insira os seguintes detalhes:
   
   Especificar credenciais:marcada
   Nome de usuário:o nome de usuário da credencial de acesso no Admin Console
   Senha:a senha da credencial de acesso no Admin Console
   Número da porta:636
   Protocolo:LDAP
   Autenticação de vinculação simples:marcada
   
5. Clique em OK e em OK novamente.
6. Se a conectividade ocorrer, o conteúdo do diretório no DN de base será exibido no painel direito.

1. Instale o OpenSSL.
2. Converta os arquivos de certificado e de chave em um arquivo no formato PKCS12. Em um prompt de comando, digite o seguinte:
   
   openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
   
   Digite uma senha para criptografar o arquivo de saída.
   
3. Acesse o Painel de controle.
4. Na caixa de pesquisa, pesquise "certificado" e clique em Gerenciar certificados do usuário.
5. Acesse Ação > Todas as tarefas > Importar….
6. Selecione Usuário atual e clique em Próxima.
7. Clique em Procurar….
8. Na lista suspensa file type, no canto inferior direito da caixa de diálogo, selecione Personal Information Exchange (*.pfx;*.p12).
9. Selecione o arquivo ldap-client.p12 da etapa 2, clique em Abrir e depois em Próxima.
10. Digite a senha da etapa 2 e clique em Próxima.
11. Selecione o repositório de certificados Pessoal, clique em Próxima e em Concluir.
12. Execute Ldp.exe.
13. Acesse Connection > Connect....
14. Digite os seguintes detalhes de conexão:
    
    Server: ldap.google.com
    Port: 636
    Connectionless: Unchecked
    SSL: Checked
    
15. Clique em OK.
16. Acesse Visualizar > Árvore.
17. Digite o DN de base. Esse é seu nome de domínio no formato DN. Por exemplo, dc=example,dc=com para example.com.
18. Clique em OK.
19. Se a conectividade ocorrer, o conteúdo do diretório no DN de base será exibido no painel direito.