Estoy un poco perdido con ldapsearch... Tengo que configurar una nube con autenticación AD.
esto está funcionando bien
ldapsearch -h server -p 389 -x -D 'admin.test' -w 'xxx' -b 'cn=admin.test,cn=users,dc=domain,dc=com'
Pero quiero hacer algo de seguridad y por eso pruebo ldaps.
Esto está funcionando:
> ldapsearch -H ldaps://server -x -D 'admin.test' -w 'xxx' -b 'cn=admin.test,cn=users,dc=domain,dc=com'
Y esto también :
> ldapsearch -H ldaps://server:636 -x -D 'admin.test' -w 'xxx' -b 'cn=admin.test,cn=users,dc=domain,dc=com'
Pero esto no funciona.
ldapsearch -h server -p 636 -x -D 'admin.test' -w 'xxx' -b 'cn=admin.test,cn=users,dc=domain,dc=com' -v
ldap_initialize( ldap://srv-dc01.get.com:636 )
ldap_result: Can't contact LDAP server (-1)
No sé qué está pasando. Y la nube quiere una URL y no una URI. Otra pregunta, ¿es posible bloquear ldap y dejar que ldap funcione?
SO: Linux CentOS 7 con selinux Enforced DC está en el servidor 2008 R2.
Muchas gracias. Saludos, Alejandro
Respuesta1
ACTUALIZAR:
Deesta páginaparece que
El nombre de dominio completo essiempre requeridocon la opción -h. Esto evita ataques de intermediarios.
y eso:
Aunque se admite el uso del protocolo ldaps, está en desuso.
Mas de man ldapsearch:
-h: Especifique un host alternativo en el que se ejecuta el servidor ldap.En desuso en favor de -H.
Para permitir solo conexiones seguras, eche un vistazoaquí, u otra solución sencilla es una regla de iptable:
iptables -A OUTPUT -p tcp --dport 389 -j DROP
iptables -A INPUT -p tcp --destination-port 389 -j DROP
Respuesta2
Gracias, lo intenté con -Z y -ZZ.
ldapsearch -h server -p 636 -x -D 'admin.test' -w 'xxx' -b cn=admin.test,cn=users,dc=domain,dc=com' -v -Z
ldap_initialize( ldap://server.domain.com:636 )
ldap_start_tls: Can't contact LDAP server (-1)
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
Con -ZZ, el mismo mensaje de error sin ldap_sasl_bind (SIMPLE): No se puede contactar con el servidor LDAP (-1)
Tienes razón, este comando no inicia el buen protocolo. ¿Hay alguna manera de forzar esto?