ldapsearch - Starke (er) Authentifizierung erforderlich - Transportverschlüsselung erforderlich

889
BrainStone

Ich versuche, die Anzeige meiner Firma mit zu suchen ldapsearch. Ich bekomme jedoch immer den Fehler:

ldap_bind: Strong(er) authentication required (8) additional info: BindSimple: Transport encryption required. 

Ich habe versucht, LDAPS in jeder möglichen Kombination zu verwenden, aber ich kann anscheinend nicht in der Lage sein, auf dem Standardport eine Verbindung zum Server herzustellen.
Seltsamerweise habe ich keinerlei Probleme mit Active Directory Explorer.

Ich dachte, es könnte sein, dass die Firewall nicht korrekt konfiguriert ist und den LDAPS (636) -Port blockiert. Dies würde jedoch den Active Directory Explorer nicht erklären.

Auch GitLab scheint in der Lage zu sein, sich gut damit zu verbinden. Nur dass es sich nicht authentifiziert. Aber damit versuche ich auch zu debuggen ldapsearch.

Das ist der Befehl, den ich benutze:

ldapsearch -D "cn=myuser,cn=Users,dc=company,dc=local" -w "<password>" \ -p 389 -h 10.128.1.254 \ -b "cn=Users,dc=company,dc=local" 

Der Server ist richtig, so ist die bind_dn (nach Active Directory Explorer) und das entsprechende Passwort, habe ich versucht, für die Sachen obere ein Klein mit wie cnhabe ich versucht, alle möglichen Konfigurationen der Verwendung von LDAPS (wie -H ldaps://10.128.1.254, -H ldaps://10.128.1.254:389, -H ldaps://10.128.1.254:636) und die Fahne -x, so Mir gehen wirklich die Ideen aus.

Wenn es relevant ist, ist der AD-Server der Active Directory-Server unter Synology / DSM, einem Linux-SAMBA-Server unter der Haube.

Jede Hilfe wird sehr geschätzt.


AKTUALISIEREN:

Sieht aus, als würde das Hinzufügen -Y NTLMmich weiter bringen.

Jetzt bekomme ich:

SASL/NTLM authentication started ldap_sasl_interactive_bind_s: Invalid credentials (49) additional info: SASL:[NTLM]: NT_STATUS_OBJECT_NAME_NOT_FOUND 

was seltsam ist, da ich weiß, dass das Passwort korrekt ist.


UPDATE 2:

Nun -Y GSSAPIerstellt das Verwenden diesen eher nichts sagenden Fehler:

SASL/GSSAPI authentication started ldap_sasl_interactive_bind_s: Local error (-2) additional info: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (No Kerberos credentials available (default cache: FILE:/tmp/krb5cc_0)) 

UPDATE 3:

Der Parameter -ZZ( -Zauch) endet mit diesem Fehler:

ldap_start_tls: Connect error (-11) additional info: The TLS connection was non-properly terminated. 
0

1 Antwort auf die Frage

0
Michael Ströder

Sind Sie sicher, dass TLS in Ihrer Active Directory-Bereitstellung überhaupt konfiguriert ist? Es ist nicht standardmäßig.

Trotzdem unter Verwendung von LDAPS (Standardport 636):

ldapsearch -H ldaps://10.128.1.254 

Verwenden von LDAP und Erzwingen des erweiterten StartTLS-Vorgangs (Standardport 389):

ldapsearch -H ldap://10.128.1.254 -ZZ 

Beachten Sie, dass die Client-Dienstprogramme von OpenLDAP eine strikte Überprüfung des TLS-Hostnamens durchführen. Aus diesem Grund muss das Serverzertifikat den DNS-Namen oder die IP-Adresse enthalten, die mit -H im Subject-Attribut oder CN-Attribut des Zertifikats verwendet wird.

Wenn Sie SASL mit GSSAPI / Kerberos verwenden möchten, müssen Sie zuvor ein Kerberos-Ticketerteilungsticket erwerben kinit.

Ich verwende sicherlich kein LDAPS. Ich habe es auch mit dem Parameter "H" ausprobiert, wie Sie es in Ihrem zweiten Beispiel gezeigt haben. Das führt mich zu den gleichen Fehlermeldungen wie zuvor. BrainStone vor 6 Jahren 0
Sie haben Port 636 erwähnt, der Standardport für LDAPS. Haben Sie trotzdem versucht, StartTLS ext.op zu verwenden? statt wie in meinem 2. Beispiel beschrieben? Michael Ströder vor 6 Jahren 0
Entschuldigen Sie. Auf dem Handy wurde der letzte Parameter abgeschnitten. Ich werde das versuchen. BrainStone vor 6 Jahren 0
Entschuldigung für die späte Antwort. Ich war nicht bei der Arbeit und konnte es nicht testen. Durch Hinzufügen des Parameters "-ZZ" wird Folgendes erzielt: "Die TLS-Verbindung wurde nicht ordnungsgemäß beendet." Ich habe den vollständigen Fehler als Edit 3 im ursprünglichen Beitrag hinzugefügt. BrainStone vor 6 Jahren 0
Ich wiederhole den ersten Satz meiner Antwort: Sind Sie sicher, dass TLS in Ihrer Active Directory-Bereitstellung überhaupt konfiguriert ist? Es ist nicht standardmäßig. Michael Ströder vor 6 Jahren 0
Ich weiß es wirklich nicht. Die Schnittstelle in der Synology ermöglicht eine genaue Konfiguration. Und ungefähr genauso viele Informationen. BrainStone vor 6 Jahren 0
Ich würde also davon ausgehen, dass die Verwendung von TLS nicht unterstützt wird, da Sie mindestens eine Konfigurationsoption benötigen, um das CA-Stammzertifikat und das Zertifikat / Schlüssel des TLS-Servers hinzuzufügen. Michael Ströder vor 6 Jahren 0