ldapsearch - требуется строгая (er) аутентификация - требуется транспортное шифрование

529
BrainStone

Я пытаюсь найти AD моей компании с ldapsearch. Однако я всегда получаю ошибку:

ldap_bind: Strong(er) authentication required (8) additional info: BindSimple: Transport encryption required. 

Я пытался использовать LDAPS в каждой возможной комбинации, но я не могу подключиться к серверу каким-либо иным способом, кроме как с LDAP через порт по умолчанию.
Как ни странно, у меня нет проблем с использованием Active Directory Explorer.

Я думал, что это может быть, что брандмауэр не настроен правильно и блокирует порт LDAPS (636), но это не объясняет работу Active Directory Explorer ...

Также GitLab, кажется, может подключиться к нему просто отлично. За исключением того, что он не будет аутентифицироваться. Но это то, что я ldapsearchтоже пытаюсь отладить .

Это команда, которую я использую:

ldapsearch -D "cn=myuser,cn=Users,dc=company,dc=local" -w "<password>" \ -p 389 -h 10.128.1.254 \ -b "cn=Users,dc=company,dc=local" 

Сервер правильно, так это bind_dn ( в соответствии с Active Directory Explorer) и соответствующий пароль, я попытался с помощью верхнего в нижнем регистр для таких вещей, как cn, я перепробовал все возможные конфигурации с использованием LDAPS (как -H ldaps://10.128.1.254, -H ldaps://10.128.1.254:389, -H ldaps://10.128.1.254:636) и флага -x, так У меня действительно заканчиваются идеи.

Если это уместно, то сервером AD является сервер Active Directory в Synology / DSM, который является внутренним SAMBA-сервером linux.

Любая помощь очень ценится.


ОБНОВИТЬ:

Похоже, добавление -Y NTLMзаставляет меня дальше.

Теперь я получаю:

SASL/NTLM authentication started ldap_sasl_interactive_bind_s: Invalid credentials (49) additional info: SASL:[NTLM]: NT_STATUS_OBJECT_NAME_NOT_FOUND 

что странно, так как я знаю, что пароль правильный.


ОБНОВЛЕНИЕ 2:

Теперь использование -Y GSSAPIсоздает это довольно ничего не говоря об ошибке:

SASL/GSSAPI authentication started ldap_sasl_interactive_bind_s: Local error (-2) additional info: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (No Kerberos credentials available (default cache: FILE:/tmp/krb5cc_0)) 

ОБНОВЛЕНИЕ 3:

Параметр -ZZ( -Zтоже) заканчивается этой ошибкой:

ldap_start_tls: Connect error (-11) additional info: The TLS connection was non-properly terminated. 
0

1 ответ на вопрос

0
Michael Ströder

Вы уверены, что TLS даже настроен в вашем развертывании Active Directory? Это не по умолчанию.

В любом случае, используя LDAPS (порт по умолчанию 636):

ldapsearch -H ldaps://10.128.1.254 

Использование LDAP и принудительное выполнение расширенной операции StartTLS (порт по умолчанию 389):

ldapsearch -H ldap://10.128.1.254 -ZZ 

Обратите внимание, что клиент OpenLDAP выполняет строгую проверку имени хоста TLS. Поэтому сертификат сервера должен содержать DNS-имя или IP-адрес, используемые с -H в атрибуте subjectAltName или CN сертификата.

Если вы хотите использовать SASL с GSSAPI / Kerberos, вы должны получить билет на выдачу билетов Kerberos, прежде чем с kinit.

Я, конечно, не использую LDAPS. Я также попробовал это с параметром `H`, как вы показали во втором примере. Это приводит меня к тем же сообщениям об ошибках, что и раньше. BrainStone 5 лет назад 0
Вы упомянули порт 636, который является портом по умолчанию для LDAPS. В любом случае, вы пытались использовать StartTLS ext.op. а не как описано в моем втором примере? Michael Ströder 5 лет назад 0
Мои извенения. На мобильном последний параметр был обрезан. Я попробую это. BrainStone 5 лет назад 0
Извините за поздний ответ. Я не был на работе и не смог проверить это. Добавление параметра `-ZZ` приводит к:` Соединение TLS было разорвано неправильно`. Я добавил полную ошибку как Редактировать 3 в оригинальном сообщении. BrainStone 5 лет назад 0
Я повторяю первое предложение моего ответа: вы уверены, что TLS даже настроен в вашем развертывании Active Directory? Это не по умолчанию. Michael Ströder 5 лет назад 0
Я, честно говоря, не знаю. Интерфейс в Synology обеспечивает ровно 0 конфигураций. И примерно столько же информации. BrainStone 5 лет назад 0
Поэтому я предполагаю, что использование TLS не поддерживается, потому что вам по крайней мере понадобится опция конфигурации для добавления корневого сертификата CA и сертификата / ключа TLS-сервера. Michael Ströder 5 лет назад 0

Похожие вопросы