Я немного запутался с ldapsearch... Мне нужно настроить облако с аутентификацией AD.
это работает хорошо
ldapsearch -h server -p 389 -x -D 'admin.test' -w 'xxx' -b 'cn=admin.test,cn=users,dc=domain,dc=com'
Но я хочу обеспечить некоторую безопасность и поэтому пробую ldaps.
Это работает:
> ldapsearch -H ldaps://server -x -D 'admin.test' -w 'xxx' -b 'cn=admin.test,cn=users,dc=domain,dc=com'
И это тоже:
> ldapsearch -H ldaps://server:636 -x -D 'admin.test' -w 'xxx' -b 'cn=admin.test,cn=users,dc=domain,dc=com'
Но это не работает.
ldapsearch -h server -p 636 -x -D 'admin.test' -w 'xxx' -b 'cn=admin.test,cn=users,dc=domain,dc=com' -v
ldap_initialize( ldap://srv-dc01.get.com:636 )
ldap_result: Can't contact LDAP server (-1)
Я не знаю, что происходит. И облаку нужен URL, а не URI. Другой вопрос, можно ли заблокировать LDAP и разрешить работу LDAP?
ОС: Linux CentOS 7 с selinux Enforced DC на сервере 2008 R2.
Спасибо большое. С уважением, Александр
решение1
ОБНОВЛЯТЬ:
Отэта страницакажется, что
Полное доменное имя:всегда требуетсяс опцией -h. Это предотвращает атаки типа «человек посередине».
и что:
Хотя использование протокола ldaps поддерживается, оно устарело.
Еще, от man ldapsearch:
-час: Укажите альтернативный хост, на котором работает сервер LDAP.Устарело в пользу -H.
Чтобы разрешить только безопасные соединения, посмотритездесь, или другое простое решение — правило iptable:
iptables -A OUTPUT -p tcp --dport 389 -j DROP
iptables -A INPUT -p tcp --destination-port 389 -j DROP
решение2
Спасибо, я попробовал с -Z и -ZZ.
ldapsearch -h server -p 636 -x -D 'admin.test' -w 'xxx' -b cn=admin.test,cn=users,dc=domain,dc=com' -v -Z
ldap_initialize( ldap://server.domain.com:636 )
ldap_start_tls: Can't contact LDAP server (-1)
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
С -ZZ то же сообщение об ошибке без ldap_sasl_bind(SIMPLE): Невозможно связаться с сервером LDAP (-1)
Вы правы, эта команда не запускает хороший протокол. Есть ли способ заставить это сделать?