Как проверить ldap соединение
Перейти к содержимому

Как проверить ldap соединение

  • автор:

Как проверить ldap соединение

Чтобы настроить параметры соединения с LDAP-сервером, выполните следующие действия:

  1. В главном окне веб-интерфейса программы в дереве консоли управления выберите раздел Параметры , подраздел LDAP .
  2. В нижней части рабочей области выберите LDAP-сервер, параметры соединения с которым вы хотите настроить.
  3. В блоке параметров Параметры соединения c LDAP-сервером выбранного сервера по любой ссылке откройте окно Параметры соединения c LDAP-сервером .
  4. В блоке параметров Параметры LDAP-сервера в списке LDAP-сервер выберите одну из следующих внешних служб каталогов:
    • generic LDAP , если вы хотите добавить соединение с сервером LDAP-совместимой службы каталогов (например, Red Hat Directory Server).
    • Active Directory , если вы хотите добавить соединение с сервером Microsoft Active Directory.
  5. В блоке параметров Параметры LDAP-сервера в поле Адрес сервера введите IP-адрес в формате IPv4 или FQDN-имя LDAP-сервера, к которому вы хотите подключиться.
  6. В блоке параметров Параметры LDAP-сервера в списке Порт подключения укажите порт подключения к LDAP-серверу. LDAP-сервер, как правило, принимает входящие соединения на порт 389 по протоколам TCP или UDP. Для подключения к LDAP-серверу по протоколу SSL обычно используется порт 636.
  7. В блоке параметров Параметры LDAP-сервера в списке Тип подключения выберите один из вариантов использования шифрования данных при подключении к LDAP-серверу:
    • SSL , если вы хотите использовать SSL.
    • TLS , если вы хотите использовать TLS.
    • Без шифрования , если вы не хотите использовать технологии шифрования данных при подключении к LDAP-серверу. После выхода обновления Microsoft ADV190023 LDAP Channel Binding and LDAP Signing вариант Без шифрования работать не будет, необходимо будет использовать SSL- или TLS-шифрование при подключениии к LDAP-серверу.
  8. В блоке параметров Параметры аутентификации в поле Имя пользователя LDAP-сервера введите имя пользователя LDAP-сервера, у которого есть права на чтение записей каталога (BindDN). Введите имя пользователя в одном из следующих форматов:
    • cn=, ou= (если требуется) , dc=, dc= , если вы хотите добавить соединение с сервером LDAP-совместимой службы каталогов (например, Red Hat Directory Server). Например, вы можете ввести имя пользователя cn=LdapServerUser, dc=example, dc=com , где LdapServerUser – имя пользователя LDAP-сервера, example – доменное имя каталога, к которому относится учетная запись пользователя, com – имя родительского домена, в котором находится каталог.
    • cn=, ou= (если требуется) , dc=, dc= или @ , если вы хотите добавить соединение с сервером Microsoft Active Directory. Например, вы можете ввести имя пользователя LdapServerUser@example.com , где LdapServerUser – имя пользователя LDAP-сервера, example.com – доменное имя каталога, к которому относится учетная запись пользователя.
  9. В блоке параметров Параметры аутентификации в поле Пароль пользователя LDAP-сервера введите пароль доступа к LDAP-серверу пользователя, указанного в поле Имя пользователя LDAP-сервера .
  10. В блоке Параметры поиска в поле База поиска введите DN (Distinguished Name – уникальное имя) объекта каталога, начиная с которого Kaspersky Secure Mail Gateway осуществляет поиск записей. Вводите базу поиска в формате ou= (если требуется) , dc=, dc= . Например, вы можете ввести базу поиска ou=people, dc=example, dc=com , где people – уровень в схеме каталога, начиная с которого Kaspersky Secure Mail Gateway осуществляет поиск записей (поиск осуществляется на уровне people и ниже. Объекты, расположенные выше этого уровня, исключаются из поиска), example – доменное имя каталога, в котором Kaspersky Secure Mail Gateway осуществляет поиск записей, com – имя родительского домена, в котором находится каталог.
  11. Нажмите на кнопку Проверить . Kaspersky Secure Mail Gateway проверит подключение к LDAP-серверу с указанными вами значениями параметров соединения и аутентификации.
  12. Нажмите на кнопку Применить . Окно Параметры соединения c LDAP-сервером закроется.

Вики IT-KB

Утилита ldapsearch (клиент OpenLDAP) и проверка подключения к контроллеру домена Active Directory

Проверку выполняем на примере Debian GNU/Linux 8 (Jessie). Сначала убедимся в том, что клиент OpenLDAP установлен в системе:

# dpkg -l | grep ldap
ii ldap-utils 2.4.40+dfsg-1+deb8u2 amd64 OpenLDAP utilities ii libldap-2.4-2:amd64 2.4.40+dfsg-1+deb8u2 amd64 OpenLDAP libraries

Исходные данные для проверки подключения клиента OpenLDAP к LDAP-каталогу на примере контроллера домена Active Directory (AD):

ad.holding.com — Имя домена AD;
dc01.ad.holding.com — FQDN-имя контроллера домена AD;

s-LDAP-Check-User — Имя пользователь в домене AD, от имени которого выполняется подключение (уровень прав в домене — рядовой пользователь);

PaZsw0rd — Пароль пользователя s-LDAP-Check-User.
Test-User — Имя пользователя в домене AD, которого мы пытаемся найти в LDAP-каталоге.

«OU=Test Users,OU=KOM,DC=ad,DC=holding,DC=com» — DN-имя контейнера в AD, в котором выполняется поиск пользователя Test-User.

Проверка подключения по протоколу LDAP (TCP 389)

Используется подключение типа ldap:/. Учётные данные пользователя s-LDAP-Check-User передаются по сети в открытом виде:

$ ldapsearch -v -x \ -D "s-LDAP-Check-User@ad.holding.com" -w "PaZsw0rd" \ -b "OU=Test Users,OU=KOM,DC=ad,DC=holding,DC=com" \ -H "ldap://dc01.ad.holding.com" sAMAccountName=Test-User

Проверка подключения по протоколу LDAPS (TCP 636)

Используется подключение типа ldaps:/. LDAP-сессия шифруется с помощью SSL-сертификата, предоставляемого контроллером домена. Чтобы LDAP-клиент доверял сертификату контроллера домена, нам нужно создать файл, содержащий корневые сертификаты доменных Центров сертификации, которыми подписан сертификат контроллера домена. Назовём этот файл, например /etc/ssl/certs/cacerts.pem, и скопируем в него корневые сертификаты доменных ЦС в формате PEM и кодировке Base-64.

Изменим на время проверки конфигурационный файл клиента OpenLDAP /etc/ldap/ldap.conf, указав в переменной TLS_CACERT путь к созданному нами файлу с корневыми сертификатами доменных ЦС:

. #TLS_CACERT /etc/ssl/certs/ca-certificates.crt TLS_CACERT /etc/ssl/certs/cacerts.pem .

После этого можно попробовать выполнить поиск по протоколу LDAPS:

$ ldapsearch -v -x \ -D "s-LDAP-Check-User@ad.holding.com" -w "PaZsw0rd" \ -b "OU=Test Users,OU=KOM,DC=ad,DC=holding,DC=com" \ -H "ldaps://dc01.ad.holding.com" sAMAccountName=Test-User

Проверка подключения по протоколу LDAP с защитой StartTLS (TCP 389)

Используется подключение типа ldap:/ с дополнительными ключами, включающими TLS : -Z и -ZZ. LDAP-сессия также шифруется с помощью SSL-сертификата, предоставляемого контроллером домена. Первичное подключение к контроллеру домена AD происходит по порту 389, затем создаётся отдельный защищённый TLS-туннель, внутри которого и происходит весь LDAP-обмен между клиентом и сервером. Используется настроенный нами ранее файл корневых сертификатов доменных ЦС.

$ ldapsearch -Z -v -x \ -D "s-LDAP-Check-User@ad.holding.com" -w "PaZsw0rd" \ -b "OU=Test Users,OU=KOM,DC=ad,DC=holding,DC=com" \ -H "ldap://dc01.ad.holding.com" sAMAccountName=Test-User

Автор первичной редакции:
Алексей Максимов
Время публикации: 19.03.2017 18:04

Обсуждение

unix-linux/linux-cli-tools/openldap-ldap-client-check-connection-to-active-directory-domain-controller-with-ldapsearch.txt · Последнее изменение: 19.03.2017 19:05 — Алексей Максимов

Похожие публикации:
  1. Visual studio как установить расширение
  2. Vroid как анимировать
  3. Wsl что это
  4. Когда появился язык си плюс плюс

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *