ldap funktioniert, aber ldaps nicht richtig

tag-icon tag-icon linux ldap centos7
ldap funktioniert, aber ldaps nicht richtig

Ich bin mit ldapsearch etwas ratlos ... Ich muss eine Cloud mit AD-Authentifizierung konfigurieren.

das funktioniert gut

 ldapsearch -h server -p 389 -x -D 'admin.test' -w 'xxx' -b 'cn=admin.test,cn=users,dc=domain,dc=com'

Aber ich möchte für etwas Sicherheit sorgen und habe es deshalb mit LDAPs versucht.

Das funktioniert:

> ldapsearch -H ldaps://server -x -D 'admin.test' -w 'xxx' -b 'cn=admin.test,cn=users,dc=domain,dc=com'

Und das auch :

> ldapsearch -H ldaps://server:636 -x -D 'admin.test' -w 'xxx' -b 'cn=admin.test,cn=users,dc=domain,dc=com'

Aber das funktioniert nicht.

ldapsearch -h server -p 636 -x -D 'admin.test' -w 'xxx' -b 'cn=admin.test,cn=users,dc=domain,dc=com' -v
ldap_initialize( ldap://srv-dc01.get.com:636 )
ldap_result: Can't contact LDAP server (-1)

Ich weiß nicht, was los ist. Und die Cloud will eine URL und keine URI. Andere Frage: Ist es möglich, LDAP zu blockieren und LDAPs arbeiten zu lassen?

Betriebssystem: Linux CentOS 7 mit Selinux. Erzwungener DC befindet sich auf Server 2008 R2.

Vielen Dank. Grüße, Alexandre

Antwort1

AKTUALISIEREN:

Ausdiese Seiteanscheinend

Der vollqualifizierte Domänenname lautetimmer erforderlichmit der Option -h. Dies verhindert Man-In-The-Middle-Angriffe.

und das:

Obwohl die Verwendung des LDAPS-Protokolls unterstützt wird, ist es veraltet.

Mehr von man ldapsearch:

-H: Geben Sie einen alternativen Host an, auf dem der LDAP-Server ausgeführt wird.Veraltet zugunsten von -H.

Um nur sichere Verbindungen zuzulassen, schauen Sie sichHier, oder eine andere einfache Lösung ist eine iptable-Regel:

iptables -A OUTPUT -p tcp --dport 389 -j DROP
iptables -A INPUT  -p tcp --destination-port 389  -j DROP

Antwort2

Danke, ich habe es mit -Z und -ZZ versucht.

 ldapsearch -h server -p 636 -x -D 'admin.test' -w 'xxx' -b cn=admin.test,cn=users,dc=domain,dc=com' -v -Z
ldap_initialize( ldap://server.domain.com:636 )
ldap_start_tls: Can't contact LDAP server (-1)
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)

Mit -ZZ dieselbe Fehlermeldung ohne ldap_sasl_bind(SIMPLE): Kann LDAP-Server nicht kontaktieren (-1)

Sie haben Recht, dieser Befehl startet das gute Protokoll nicht. Gibt es eine Möglichkeit, dies zu erzwingen?

verwandte Informationen