Я пытаюсь найти AD моей компании с ldapsearch . Однако я всегда получаю ошибку:

ldap_bind: Strong(er) authentication required (8)
        additional info: BindSimple: Transport encryption required.

Я пытался использовать LDAPS в каждой возможной комбинации, но я не могу подключиться к серверу каким-либо иным способом, кроме как с LDAP через порт по умолчанию.
Как ни странно, у меня нет проблем с использованием Active Directory Explorer.

Я думал, что это может быть, что брандмауэр не настроен правильно и блокирует порт LDAPS (636), но это не объясняет работу Active Directory Explorer ...

Также GitLab, кажется, может подключиться к нему просто отлично. За исключением того, что он не будет аутентифицироваться. Но это то, что я тоже пытаюсь отладить с помощью ldapsearch .

Это команда, которую я использую:

ldapsearch -D "cn=myuser,cn=Users,dc=company,dc=local" -w "<password>" \
    -p 389 -h 10.128.1.254 \
    -b "cn=Users,dc=company,dc=local"

Сервер правильный, так же как и bind_dn (согласно Active Directory Explorer) и соответствующий пароль, я попытался использовать верхний регистр для таких вещей, как cn , я попробовал все возможные конфигурации использования LDAPS (например, -H ldaps://10.128.1.254 , -H ldaps://10.128.1.254:389 , -H ldaps://10.128.1.254:636) и флаг -x , поэтому у меня действительно заканчиваются идеи.

Если это уместно, то сервером AD является сервер Active Directory в Synology/DSM, который является внутренним SAMBA-сервером linux.

Любая помощь очень ценится.

ОБНОВИТЬ:

Похоже, добавление -Y NTLM заставляет меня идти дальше.

Теперь я получаю:

SASL/NTLM authentication started
ldap_sasl_interactive_bind_s: Invalid credentials (49)
        additional info: SASL:[NTLM]: NT_STATUS_OBJECT_NAME_NOT_FOUND

что странно, так как я знаю, что пароль правильный.

ОБНОВЛЕНИЕ 2:

Теперь использование -Y GSSAPI создает эту ошибку, которая ничего не говорит:

SASL/GSSAPI authentication started
ldap_sasl_interactive_bind_s: Local error (-2)
        additional info: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure.  Minor code may provide more information (No Kerberos credentials available (default cache: FILE:/tmp/krb5cc_0))

ОБНОВЛЕНИЕ 3:

Параметр -ZZ (тоже -Z ) заканчивается этой ошибкой:

ldap_start_tls: Connect error (-11)
        additional info: The TLS connection was non-properly terminated.
|источник

1 ответ1

0

Вы уверены, что TLS даже настроен в вашем развертывании Active Directory? Это не по умолчанию.

В любом случае, используя LDAPS (порт по умолчанию 636):

ldapsearch -H ldaps://10.128.1.254

Использование LDAP и принудительное выполнение расширенной операции StartTLS (порт по умолчанию 389):

ldapsearch -H ldap://10.128.1.254 -ZZ

Обратите внимание, что клиент OpenLDAP выполняет строгую проверку имени хоста TLS. Поэтому сертификат сервера должен содержать DNS-имя или IP-адрес, используемые с -H в атрибуте subjectAltName или CN сертификата.

Если вы хотите использовать SASL с GSSAPI/Kerberos, вы должны получить билет на выдачу билетов Kerberos, прежде чем использовать kinit .

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .