ldapsearch가 좀 헷갈리네요... AD 인증으로 클라우드를 구성해야 합니다.
이건 잘 작동하고 있어
ldapsearch -h server -p 389 -x -D 'admin.test' -w 'xxx' -b 'cn=admin.test,cn=users,dc=domain,dc=com'
하지만 보안을 강화하고 싶어서 LDAP를 사용해 봅니다.
이것은 작동 중입니다.
> ldapsearch -H ldaps://server -x -D 'admin.test' -w 'xxx' -b 'cn=admin.test,cn=users,dc=domain,dc=com'
그리고 이것도 :
> ldapsearch -H ldaps://server:636 -x -D 'admin.test' -w 'xxx' -b 'cn=admin.test,cn=users,dc=domain,dc=com'
그러나 이것은 작동하지 않습니다.
ldapsearch -h server -p 636 -x -D 'admin.test' -w 'xxx' -b 'cn=admin.test,cn=users,dc=domain,dc=com' -v
ldap_initialize( ldap://srv-dc01.get.com:636 )
ldap_result: Can't contact LDAP server (-1)
무슨 일이 일어나고 있는지 모르겠습니다. 그리고 클라우드는 URI가 아닌 URL을 원합니다. 다른 질문입니다. LDAP를 차단하고 LDAP가 작동하도록 할 수 있습니까?
OS: selinux Enforced DC가 포함된 Linux CentOS 7은 서버 2008 R2에 있습니다.
매우 감사합니다. 감사합니다, 알렉상드르
답변1
업데이트:
에서이 페이지그것은 나타납니다
정규화된 도메인 이름은 다음과 같습니다.항상 필수-h 옵션을 사용합니다. 이를 통해 중간자 공격을 방지할 수 있습니다.
그리고 그것은:
ldaps 프로토콜 사용은 지원되지만 더 이상 사용되지 않습니다.
더 많은 정보 man ldapsearch:
-시간: LDAP 서버가 실행 중인 대체 호스트를 지정합니다.-H를 선호하여 더 이상 사용되지 않음.
보안 연결만 허용하려면 다음을 살펴보세요.여기또는 또 다른 쉬운 솔루션은 iptable 규칙입니다.
iptables -A OUTPUT -p tcp --dport 389 -j DROP
iptables -A INPUT -p tcp --destination-port 389 -j DROP
답변2
감사합니다. -Z 및 -ZZ를 사용해 보았습니다.
ldapsearch -h server -p 636 -x -D 'admin.test' -w 'xxx' -b cn=admin.test,cn=users,dc=domain,dc=com' -v -Z
ldap_initialize( ldap://server.domain.com:636 )
ldap_start_tls: Can't contact LDAP server (-1)
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
-ZZ를 사용하면 ldap_sasl_bind(SIMPLE)가 없는 동일한 오류 메시지: LDAP 서버에 연결할 수 없습니다(-1)
당신 말이 맞습니다. 이 명령은 좋은 프로토콜을 시작하지 않습니다. 강제로 할 수 있는 방법이 있나요?