LDAP-Benutzer suchen basierend auf Zertifikat in der Linux-Kommandozeile

Ich soll zur Suche nach einem Benutzer unter Verwendung von ldapsearch.

Aber Der hosting-provider gegeben, Zertifikat (CA). Ich fügte hinzu, dass das Zertifikat in meinem ldapconf.
Also Vor der Ausführung ldapsearch Befehl, den ich bin mit openssl wie folgt

openssl s_client -connect-hostname -CAfile /Zertifikat.pem -

nachdem Sie eine Verbindung über openssl
Ich bin mit dem ausführen des folgenden Befehls in einem anderen terminal

ldapsearch -h hostname -p portno -D [email protected], dc=global,dc=example,dc=net

Nun möchte ich wissen gibt es eine Möglichkeit das Zertifikat zu verwenden, während der Ausführung ldapsearch Befehl

InformationsquelleAutor AnNaMaLaI | 2015-01-08
  1. 4

    Sollte dies machbar sein, indem Sie ausführen:

    env LDAPTLS_CACERT=/certificate.pem ldapsearch -h hostname -p portno -D [email protected], dc=global,dc=example,dc=net

    obwohl, ich würde verwenden:

    env LDAPTLS_CACERT=/certificate.pem ldapsearch -H ldaps://hostname:portno/-D [email protected], dc=global,dc=example,dc=net

    um sicherzustellen, dass Sie versucht, mit ldaps, eher als Heuristiken.

    Wenn Sie Fehler immer noch, Sie können hinzufügen -ZZ geben wird, bessere Fehlermeldungen.

    Einen offensichtlichen gotcha ist mit einem abgelaufenen cert, die zweite offensichtlichste Manko ist die nicht mit dem gleichen Namen in der Anforderung wie haben Sie in der Bescheinigung. Lesen Sie die server-cert mit openssl s_client -connect hostname:portno - es wird eine Zeile etwas zu Lesen wie:

    subject=/C=IE/CN=hostname.domain.local

    haben Sie, um sicherzustellen, dass die ldapsearch Anfrage der hostname entspricht der hostname, wie aufgeführt in der CN=... Element. Wenn es nicht übereinstimmt, dann werden Sie nicht in der Lage sein zu verbinden (das ist einfach, cert Validierung, ob es alternative Namen, dann können Sie versuchen: openssl x509 -text -noout -in /certificate.pem | grep DNS)

    Eine Letzte Einschränkung ist, dass Mac OSX nicht respektieren die LDAPTLS_CACERT Umgebungsvariable. Sie importieren das Zertifikat in den Schlüsselbund (ich weiß nicht, einen workaround für OSX in diesem Fall).

    • Danke @Petesh. Aber Als ich versuchte, diesen Befehl immer Fehler wie ldap_sasl_interactive_bind_s: Can ' T contact LDAP server (-1)
    • Erstens, stellen Sie sicher, dass die Datei gelesen wird - benutzen von strace um zu überprüfen, dass die Datei geöffnet wird. Sie können auch versuchen, mit der -ZZ option, die geben sollten eine bessere debugging-Informationen. Ein typischer Fehler wäre so etwas wie TLS: hostname does not match CN in peer certificate (d.h. Sie sind nicht mit der gleichen Hostnamen, wie es geliefert wird in der cert). Sie können überprüfen, dass die CN mit openssl s_client -connect hostname:portno - check für das Lesen der Zeile subject= für die CN=, und Sie haben zu verwenden, als den Hostnamen.
    • Vielen Dank. Deine Antwort meinen Tag gerettet.
    InformationsquelleAutor Petesh
Schreibe einen Kommentar