ldapsearch-требуется строгая проверка подлинности (er) - требуется шифрование транспорта

я пытаюсь найти объявление моей компании с ldapsearch. Однако я всегда получаю ошибку:

ldap_bind: Strong(er) authentication required (8)
        additional info: BindSimple: Transport encryption required.

я пытался использовать LDAPS во всех возможных комбинациях, но я не могу подключиться к серверу каким-либо другим способом, кроме как только LDAP на порту по умолчанию.


Как ни странно, у меня нет никаких проблем с помощью Active Directory Explorer.

я думал, что это может быть, что брандмауэр настроен неправильно и блокирует LDAPS (636) Порт, но это не объясняет работу обозревателя Active Directory...

также GitLab, похоже, тоже может подключиться к нему. За исключением того, что он не будет аутентифицироваться. Но это то, что я пытаюсь отладить с ldapsearch тоже.

это команда, которую я использую:

ldapsearch -D "cn=myuser,cn=Users,dc=company,dc=local" -w "<password>" 
    -p 389 -h 10.128.1.254 
    -b "cn=Users,dc=company,dc=local"

сервер правильный, так что bind_dn (в соответствии с Active Directory Explorer) и соответствующий пароль, я попытался использовать верхний нижний регистр для таких вещей, как cn, I перепробовал все возможные конфигурации использования LDAPS (например -H ldaps://10.128.1.254,-H ldaps://10.128.1.254:389,-H ldaps://10.128.1.254:636) и флаг -x, так что у меня заканчиваются идеи.

если это уместно, сервер AD является сервером Active Directory на Synology / DSM, который является сервером Linux SAMBA под капотом.

любая помощь очень apprechiated.


обновление:

похоже на добавление -Y NTLM получает меня дальше.

Теперь Я get:

SASL/NTLM authentication started
ldap_sasl_interactive_bind_s: Invalid credentials (49)
        additional info: SASL:[NTLM]: NT_STATUS_OBJECT_NAME_NOT_FOUND

что странно, поскольку я знаю, что пароль правильный.


обновление 2:

теперь, используя -Y GSSAPI создает это скорее ничего не сказав ошибка:

SASL/GSSAPI authentication started
ldap_sasl_interactive_bind_s: Local error (-2)
        additional info: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure.  Minor code may provide more information (No Kerberos credentials available (default cache: FILE:/tmp/krb5cc_0))

обновление 3:

параметр -ZZ (-Z тоже) заканчивается на этой ошибке:

ldap_start_tls: Connect error (-11)
        additional info: The TLS connection was non-properly terminated.
5
задан BrainStone
02.01.2023 23:35 Количество просмотров материала 2402
Распечатать страницу

1 ответ

вы уверены, что протокол TLS даже настроен в развертывании Active Directory? Это не по умолчанию.

во всяком случае, используя LDAPS (порт по умолчанию 636):

ldapsearch -H ldaps://10.128.1.254

использование LDAP и применение расширенной операции StartTLS для успеха (порт по умолчанию 389):

ldapsearch -H ldap://10.128.1.254 -ZZ

обратите внимание, что клиентские utils OpenLDAP выполняют строгую проверку имени хоста TLS. Поэтому сертификат сервера должен содержать имя DNS или IP-адрес, используемый с-H в subjectAltName сертификата или CN атрибут.

Если вы хотите использовать SASL с GSSAPI / Kerberos, вы должны получить билет предоставления билета Kerberos Перед с kinit.

0
отвечен Michael Ströder 2023-01-04 07:23

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя

Похожие вопросы про тегам:

active-directory
authentication
connection
encryption
ldap
Вверх