Утиліта ldapsearch (клієнт OpenLDAP) і перевірка підключення до контролера домену Active Directory
Перевірку виконуємо на прикладі Debian GNU / Linux 8 (Jessie). Спочатку переконаємося в тому, що клієнт OpenLDAP встановлений в системі:
Вихідні дані для перевірки підключення клієнта OpenLDAP до LDAP-каталог на прикладі контролера домену Active Directory (AD):
ad.holding.com - Ім'я домену AD;
dc01.ad.holding.com - FQDN-имя контролера домену AD;
s-LDAP-Check-User - Ім'я користувач в домені AD, від імені якого виконується підключення (рівень прав в домені - пересічний користувач);
PaZsw0rd - Пароль користувача s-LDAP-Check-User.
Test-User - Ім'я користувача в домені AD, якого ми намагаємося знайти в LDAP-каталозі.
«OU = Test Users, OU = KOM, DC = ad, DC = holding, DC = com» - DN-ім'я контейнера в AD, в якому виконується пошук користувача Test-User.
Перевірка підключення по протоколу LDAP (TCP 389)
Використовується підключення типу ldap: /. Облікові дані користувача s-LDAP-Check-User передаються по мережі у відкритому вигляді:
Перевірка підключення по протоколу LDAPS (TCP 636)
Використовується підключення типу ldaps: /. LDAP-сесія шифрується за допомогою SSL-сертифікат, що надається контролером домену. Щоб LDAP-клієнт довіряв сертифікату контролера домену, нам потрібно створити файл, який містить кореневі сертифікати доменних Центрів сертифікації, якими підписано сертифікат контролера домену. Назвемо цей файл, наприклад /etc/ssl/certs/cacerts.pem. і скопіюємо в нього кореневі сертифікати доменних ЦС в форматі PEM і кодуванні Base-64.
Змінимо на час перевірки конфігураційний файл клієнта OpenLDAP /etc/ldap/ldap.conf. вказавши в змінної TLS_CACERT шлях до створеного нами файлу з кореневими сертифікатами доменних ЦС:
Після цього можна спробувати виконати пошук по протоколу LDAPS.
Перевірка підключення по протоколу LDAP із захистом StartTLS (TCP 389)
Використовується підключення типу ldap: / с додатковими ключами, що включають TLS. -Z і -ZZ. LDAP-сесія також шифрується за допомогою SSL-сертифікат, що надається контролером домену. Первинне підключення до контролера домену AD відбувається по порту 389. потім створюється окремий захищений TLS -туннель, всередині якого і відбувається весь LDAP-обмін між клієнтом і сервером. Використовується налаштований нами раніше файл кореневих сертифікатів доменних ЦС.