Я пытался использовать LDAPS в каждой возможной комбинации, но я не могу подключиться к серверу каким-либо иным способом, кроме как с LDAP через порт по умолчанию. Как ни странно, у меня нет проблем с использованием Active Directory Explorer.
Я думал, что это может быть, что брандмауэр не настроен правильно и блокирует порт LDAPS (636), но это не объясняет работу Active Directory Explorer ...
Также GitLab, кажется, может подключиться к нему просто отлично. За исключением того, что он не будет аутентифицироваться. Но это то, что я ldapsearchтоже пытаюсь отладить .
Сервер правильно, так это bind_dn ( в соответствии с Active Directory Explorer) и соответствующий пароль, я попытался с помощью верхнего в нижнем регистр для таких вещей, как cn, я перепробовал все возможные конфигурации с использованием LDAPS (как -H ldaps://10.128.1.254, -H ldaps://10.128.1.254:389, -H ldaps://10.128.1.254:636) и флага -x, так У меня действительно заканчиваются идеи.
Если это уместно, то сервером AD является сервер Active Directory в Synology / DSM, который является внутренним SAMBA-сервером linux.
что странно, так как я знаю, что пароль правильный.
ОБНОВЛЕНИЕ 2:
Теперь использование -Y GSSAPIсоздает это довольно ничего не говоря об ошибке:
SASL/GSSAPI authentication started ldap_sasl_interactive_bind_s: Local error (-2) additional info: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (No Kerberos credentials available (default cache: FILE:/tmp/krb5cc_0))
ОБНОВЛЕНИЕ 3:
Параметр -ZZ( -Zтоже) заканчивается этой ошибкой:
ldap_start_tls: Connect error (-11) additional info: The TLS connection was non-properly terminated.
1 ответ на вопрос
0
Michael Ströder
Вы уверены, что TLS даже настроен в вашем развертывании Active Directory? Это не по умолчанию.
В любом случае, используя LDAPS (порт по умолчанию 636):
ldapsearch -H ldaps://10.128.1.254
Использование LDAP и принудительное выполнение расширенной операции StartTLS (порт по умолчанию 389):
ldapsearch -H ldap://10.128.1.254 -ZZ
Обратите внимание, что клиент OpenLDAP выполняет строгую проверку имени хоста TLS. Поэтому сертификат сервера должен содержать DNS-имя или IP-адрес, используемые с -H в атрибуте subjectAltName или CN сертификата.
Если вы хотите использовать SASL с GSSAPI / Kerberos, вы должны получить билет на выдачу билетов Kerberos, прежде чем с kinit.
Я, конечно, не использую LDAPS. Я также попробовал это с параметром `H`, как вы показали во втором примере. Это приводит меня к тем же сообщениям об ошибках, что и раньше.
BrainStone 6 лет назад
0
Вы упомянули порт 636, который является портом по умолчанию для LDAPS. В любом случае, вы пытались использовать StartTLS ext.op. а не как описано в моем втором примере?
Michael Ströder 6 лет назад
0
Мои извенения. На мобильном последний параметр был обрезан. Я попробую это.
BrainStone 6 лет назад
0
Извините за поздний ответ. Я не был на работе и не смог проверить это. Добавление параметра `-ZZ` приводит к:` Соединение TLS было разорвано неправильно`. Я добавил полную ошибку как Редактировать 3 в оригинальном сообщении.
BrainStone 6 лет назад
0
Я повторяю первое предложение моего ответа: вы уверены, что TLS даже настроен в вашем развертывании Active Directory? Это не по умолчанию.
Michael Ströder 6 лет назад
0
Я, честно говоря, не знаю. Интерфейс в Synology обеспечивает ровно 0 конфигураций. И примерно столько же информации.
BrainStone 6 лет назад
0
Поэтому я предполагаю, что использование TLS не поддерживается, потому что вам по крайней мере понадобится опция конфигурации для добавления корневого сертификата CA и сертификата / ключа TLS-сервера.
Michael Ströder 6 лет назад
0