Utilitarul ldapsearch (clientul OpenLDAP) și testul de conectare la controlerul de domeniu Active Directory
Execută o verificare a exemplului Debian GNU / Linux 8 (Jessie). Mai întâi, asigurați-vă că clientul OpenLDAP este instalat pe sistem:
Datele sursă pentru verificarea conexiunii clientului OpenLDAP cu directorul LDAP, utilizând exemplul controlerului de domeniu Active Directory (AD):
ad.holding.com - numele de domeniu AD;
dc01.ad.holding.com - FQDN este numele controlerului de domeniu AD;
s-LDAP-Check-User - numele de utilizator din domeniul AD din care se face conexiunea (nivelul de drepturi din domeniu este un utilizator obișnuit);
PaZsw0rd - Parola utilizatorului s-LDAP-Check-User.
User-test - Numele de utilizator din domeniul AD pe care încercăm să-l găsim în directorul LDAP.
"OU = utilizatori de testare, OU = KOM, DC = ad, DC = exploatație, DC = com" este DN al containerului în AD, unde este căutat utilizatorul Test-User.
Verificați conexiunea utilizând LDAP (TCP 389)
Conexiunea este de tip ldap: /. Autentificările utilizatorului s-LDAP-Check-User sunt transmise prin rețea în text clar:
Verificarea conexiunii utilizând protocolul LDAPS (TCP 636)
Conexiunea este de tip ldaps: / type. Sesiunea LDAP este criptată utilizând certificatul SSL furnizat de controlerul de domeniu. Pentru ca un client LDAP să aibă încredere în certificatul unui controler de domeniu, trebuie să creați un fișier care conține certificatele de bază ale autorităților de certificare a domeniilor pe care le-a semnat certificatul de controler de domeniu. Să numim acest fișier, de exemplu /etc/ssl/certs/cacerts.pem. și copiați-l la certificatele de bază ale certificatelor de domeniu în format PEM și codare Base-64.
Să schimbăm fișierul /etc/ldap/ldap.conf pentru configurația clientului OpenLDAP pe durata scanării. specificând în variabila TLS_CACERT calea către fișierul pe care am creat-o cu certificatele de bază ale CA-urilor de domeniu:
După aceasta, puteți încerca să căutați protocolul LDAPS.
Verificarea conexiunii LDAP cu protecția StartTLS (TCP 389)
Conexiunea este de tip ldap: / cu chei suplimentare, inclusiv TLS. -Z și -ZZ. Sesiunea LDAP este de asemenea criptată utilizând certificatul SSL furnizat de controlerul de domeniu. Conectarea primară la controlerul de domeniu AD apare pe portul 389. Apoi se creează un tunel TLS protejat separat, în interiorul căruia are loc schimbul de LDAP între client și server. Este folosit fișierul de certificat rădăcină al CA-urilor de domeniu pe care le-am creat mai devreme.
Trimiteți-le prietenilor: