Как проверить ldap соединение

Вики IT-KB

Утилита ldapsearch (клиент OpenLDAP) и проверка подключения к контроллеру домена Active Directory

Проверку выполняем на примере Debian GNU/Linux 8 (Jessie). Сначала убедимся в том, что клиент OpenLDAP установлен в системе:

# dpkg -l | grep ldap

ii ldap-utils 2.4.40+dfsg-1+deb8u2 amd64 OpenLDAP utilities ii libldap-2.4-2:amd64 2.4.40+dfsg-1+deb8u2 amd64 OpenLDAP libraries

Исходные данные для проверки подключения клиента OpenLDAP к LDAP-каталогу на примере контроллера домена Active Directory (AD):

ad.holding.com — Имя домена AD;
dc01.ad.holding.com — FQDN-имя контроллера домена AD;

s-LDAP-Check-User — Имя пользователь в домене AD, от имени которого выполняется подключение (уровень прав в домене — рядовой пользователь);

PaZsw0rd — Пароль пользователя s-LDAP-Check-User.
Test-User — Имя пользователя в домене AD, которого мы пытаемся найти в LDAP-каталоге.

«OU=Test Users,OU=KOM,DC=ad,DC=holding,DC=com» — DN-имя контейнера в AD, в котором выполняется поиск пользователя Test-User.

Проверка подключения по протоколу LDAP (TCP 389)

Используется подключение типа ldap:/. Учётные данные пользователя s-LDAP-Check-User передаются по сети в открытом виде:

$ ldapsearch -v -x \ -D "s-LDAP-Check-User@ad.holding.com" -w "PaZsw0rd" \ -b "OU=Test Users,OU=KOM,DC=ad,DC=holding,DC=com" \ -H "ldap://dc01.ad.holding.com" sAMAccountName=Test-User

Проверка подключения по протоколу LDAPS (TCP 636)

Используется подключение типа ldaps:/. LDAP-сессия шифруется с помощью SSL-сертификата, предоставляемого контроллером домена. Чтобы LDAP-клиент доверял сертификату контроллера домена, нам нужно создать файл, содержащий корневые сертификаты доменных Центров сертификации, которыми подписан сертификат контроллера домена. Назовём этот файл, например /etc/ssl/certs/cacerts.pem, и скопируем в него корневые сертификаты доменных ЦС в формате PEM и кодировке Base-64.

Изменим на время проверки конфигурационный файл клиента OpenLDAP /etc/ldap/ldap.conf, указав в переменной TLS_CACERT путь к созданному нами файлу с корневыми сертификатами доменных ЦС:

. #TLS_CACERT /etc/ssl/certs/ca-certificates.crt TLS_CACERT /etc/ssl/certs/cacerts.pem .

После этого можно попробовать выполнить поиск по протоколу LDAPS:

$ ldapsearch -v -x \ -D "s-LDAP-Check-User@ad.holding.com" -w "PaZsw0rd" \ -b "OU=Test Users,OU=KOM,DC=ad,DC=holding,DC=com" \ -H "ldaps://dc01.ad.holding.com" sAMAccountName=Test-User

Проверка подключения по протоколу LDAP с защитой StartTLS (TCP 389)

Используется подключение типа ldap:/ с дополнительными ключами, включающими TLS : -Z и -ZZ. LDAP-сессия также шифруется с помощью SSL-сертификата, предоставляемого контроллером домена. Первичное подключение к контроллеру домена AD происходит по порту 389, затем создаётся отдельный защищённый TLS-туннель, внутри которого и происходит весь LDAP-обмен между клиентом и сервером. Используется настроенный нами ранее файл корневых сертификатов доменных ЦС.

$ ldapsearch -Z -v -x \ -D "s-LDAP-Check-User@ad.holding.com" -w "PaZsw0rd" \ -b "OU=Test Users,OU=KOM,DC=ad,DC=holding,DC=com" \ -H "ldap://dc01.ad.holding.com" sAMAccountName=Test-User

Автор первичной редакции:
Алексей Максимов
Время публикации: 19.03.2017 18:04

Обсуждение

unix-linux/linux-cli-tools/openldap-ldap-client-check-connection-to-active-directory-domain-controller-with-ldapsearch.txt · Последнее изменение: 19.03.2017 19:05 — Алексей Максимов

Включение протокола LDAP через протокол SSL с использованием стороннего центра сертификации

В этой статье описывается, как включить протокол LDAP через протокол SSL с помощью стороннего центра сертификации.

Применяется к: Windows Server 2012 R2
Оригинальный номер базы знаний: 321051

Сводка

Протокол LDAP используется для чтения и записи в Active Directory. По умолчанию трафик LDAP незащищен. С помощью протокола SSL/TLS можно сделать трафик LDAP конфиденциальным и безопасным. Чтобы активировать LDAP через SSL (LDAPS), необходимо установить отформатированный должным образом сертификат центра сертификации Майкрософт (CA) или сертификат независимого центра сертификации в соответствии с основными положениями данной статьи.

Пользовательский интерфейс для настройки LDAPS отсутствует. Установка действующего сертификата на контроллер домена позволяет средству LDAP прослушивать и автоматически принимать подключения SSL для трафиков LDAP и глобального каталога.

Требования к сертификату LDAPS

Для активации LDAPS нужно установить сертификат, соответствующий следующим требованиям.

Сертификат LDAPS расположен в хранилище личного сертификата локального компьютера (программно известного как хранилище сертификатов компьютера MY).

Примечание. Если в хранилище служб каталогов NT (NTDS) есть сертификат, контроллер домена использует его в хранилище NTDS.

• «Общее имя» (CN) в поле «Тема».
• DNS-запись в расширении «Дополнительное имя субъекта».

Создание запроса на сертификат

Для создания запроса на SSL-сертификат можно использовать любую служебную программу или приложение, которые создают действительный запрос PKCS #10. Для создания запроса воспользуйтесь программой Certreq.

Чтобы генерировать соответствующий запрос сертификата X.509 для контроллера домена, программе Certreq.exe необходим текстовый файл команд. Данный файл можно создать с помощью любого текстового редактора в формате ASCII. Сохраните созданный файл с расширением .inf в любой папке на жестком диске.

Для создания запроса на получение подходящего для LDAPS сертификата проверки подлинности сервера выполните следующие действия:

Создайте файл с расширением .inf. Далее приведен пример INF-файла, который может быть использован для создания запроса сертификата.

—————— request.inf —————— [Version] Signature=»$Windows NT$» [NewRequest] Subject = «CN=» ; замените полным доменным именем контроллера домена.
KeySpec = 1
KeyLength = 1024
; Can be 1024, 2048, 4096, 8192, or 16384.
; Larger key sizes are more secure, but have
; a greater impact on performance.
Exportable = TRUE
MachineKeySet = TRUE
SMIME = False
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = «Microsoft RSA SChannel Cryptographic Provider»
ProviderType = 12
RequestType = PKCS10
KeyUsage = 0xa0 [EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1 ; this is for Server Authentication ;————————————————

Выполните вырезание и вставку сведений из примера файла в новый текстовый файл с именем Request.inf. Укажите полное DNS-имя для контроллера домена в запросе. Для некоторых сторонних центров сертификации может понадобиться указание дополнительных сведений в параметре «Subject». К таким сведениям относятся адрес электронной почты (E), подразделение (OU), организация (O), населенный пункт или город (L), область или край (S) и страна или регион (C). Данные сведения можно добавить к параметру «Общее имя» (CN) в файле Request.inf. Например: Subject lang-console»>certreq -new request.inf request.req

1. Создайте новый файл с именем Certnew.cer.
2. Откройте файл в программе «Блокнот», вставьте в него зашифрованный сертификат и сохраните файл.

Сохраненный сертификат должен иметь кодировку base64. Некоторые независимые центры сертификации направляют запрашивающей стороне выданный сертификат, зашифрованный в Base64-формате, электронным сообщением.

certreq -accept certnew.cer 

1. Запустите консоль управления (MMC).
2. Добавьте оснастку диспетчера сертификатов, который управляет сертификатами на локальном компьютере.
3. Последовательно разверните узлы Сертификаты (локальный компьютер), Личные и Сертификаты. В личном хранилище должен быть новый сертификат. В диалоговом окне Свойства сертификата указывается назначение сертификата Проверка подлинности сервера. Этот сертификат выдан для полного имени компьютера.

Дополнительные сведения о создании запроса на сертификат см. в официальной публикации «Подача заявок на сертификаты и управление сертификатами» (Advanced Certificate Enrollment and Management) Чтобы просмотреть этот технический документ, ознакомьтесь с разделом Дополнительная регистрация сертификатов и управление ими.

Проверка подключения LDAPS

После установки сертификата выполните следующие действия, чтобы убедиться, что LDAPS включен.

1. Запустите средство администрирования Active Directory (Ldp.exe).
2. В меню Подключение выберите команду Подключить.
3. Введите имя контроллера домена, к которому необходимо подключиться.
4. Введите номер порта 636.
5. Нажмите кнопку ОК. На правой панели должны отображаться сведения RootDSE, сообщающие об успешном подключении.

Возможные проблемы

• Расширенный запрос «Start TLS» Передача данных LDAPS осуществляется через TCP-порт 636. Взаимодействие LDAPS с сервером глобального каталога осуществляется через TCP-порт 3269. При подключении к порту 636 или 3269 перед обменом трафиком LDAP выполняется согласование SSL/TLS.
• Несколько SSL-сертификатов Schannel (поставщик SSL для корпорации Майкрософт) выбирает первый действующий сертификат, который он находит в хранилище компьютера. Если в хранилище локального компьютера хранится несколько действующих сертификатов, то Schannel может выбрать неподходящий сертификат.
• Ошибка кэширования SSL-сертификата, возникающая в системе без пакета обновления 3 (SP3) При изменении существующего сертификата LDAPS (либо из-за замены старого на новый, либо из-за изменения центра сертификации) необходимо перезагрузить сервер, чтобы Schannel мог использовать новый сертификат.

Улучшения

Изначально в этой статье рекомендовалось помещать сертификаты в личное хранилище сертификатов локального компьютера. Хотя эта возможность по-прежнему поддерживается, сертификаты также можно помещать в личное хранилище сертификатов службы NTDS в Windows Server 2008 и более поздних версиях доменных служб Active Directory. Дополнительные сведения о добавлении сертификата в личное хранилище сертификатов службы NTDS см. в разделе Код события 1220 — подключение LDAP по SSL.

Доменные службы Active Directory в первую очередь выполняют поиск сертификатов в этом хранилище, а не в хранилище локального компьютера. Это упрощает настройку доменных служб Active Directory для использования необходимого сертификата. Это связано с тем, что в личном хранилище сертификатов локальных компьютеров может быть несколько сертификатов, и трудно предугадать, какой из них выбран.

Доменная служба Active Directory определяет появление нового сертификата в своем хранилище и обновляет сертификат SSL без перезапуска доменной службы или контроллера домена.

Новая операция rootDse с именем renewServerCertificate может использоваться для ручного запуска AD DS для обновления SSL-сертификатов без необходимости перезапуска AD DS или контроллера домена. Этот атрибут можно обновить с помощью команды adsiedit.msc или импорта изменения в LDAP-файл (Lightweight Directory Interchange Format), используя ldifde.exe. Дополнительные сведения об использовании LDIF для обновления этого атрибута см. в разделе renewServerCertificate.

Наконец, если контроллер домена Windows Server 2008 или более поздней версии находит несколько сертификатов в своем хранилище, он случайным образом выберет один из этих сертификатов.

Все эти действия применимы к службе доменов Active Directory в ОС Windows Server 2008 и службе Active Directory облегченного доступа к каталогам 2008 (AD LDS). В службе AD LDS поместите сертификаты в личное хранилище сертификатов для службы, соответствующей экземпляру службы AD LDS, а не для службы NTDS.

Обратная связь

Были ли сведения на этой странице полезными?

Как проверить ldap соединение

Поддержка приложений для бизнеса

Kaspersky Security для контейнеров

Настройка интеграции с LDAP-сервером

Проверка соединения с LDAP-сервером

Kaspersky Security для контейнеров
Нет результатов
Найденные статьи:
Проверка соединения с LDAP-сервером
Проверка соединения с LDAP-сервером
Печать страницы Печать раздела Печатать все

Чтобы проверить соединение с LDAP-сервером,

1. Перейдите в раздел Администрирование → Интеграции → LDAP .
2. Выполните одно из следующих действий:
   • Если интеграция с LDAP-сервером создана, нажмите на кнопку Проверить соединение.
   • Если вы создаете интеграцию с LDAP-сервером, нажмите на кнопку Проверить соединение над формой данных для интеграции с LDAP-сервером.

Kaspersky Security для контейнеров отобразит уведомление о соединении с LDAP-сервером или о невозможности его установить.

Просмотр и настройка политики LDAP в Active Directory с помощью Ntdsutil.exe

В этой статье описывается, как управлять политиками протокола LDAP с помощью Ntdsutil.exe управления.

Применимо к: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Исходный номер базы знаний: 315071

Аннотация

Чтобы убедиться, что контроллеры домена могут поддерживать гарантии уровня обслуживания, необходимо указать операционные ограничения для многих операций LDAP. Эти ограничения предотвращают негативное влияние определенных операций на производительность сервера. Они также делают сервер более устойчивым к некоторым типам атак.

Политики LDAP реализуются с помощью объектов queryPolicy класса. Объекты политики запросов можно создавать в контейнере политик запросов, который является дочерним элементом контейнера службы каталогов в контексте именования конфигурации. Например, cn=Query-Policies,cn=Directory Service,cn=Windows NT,cn=Services configuration naming context.

Ограничения администрирования LDAP

Ограничения администрирования LDAP:

• InitRecvTimeout — это значение определяет максимальное время в секундах, в течение которого контроллер домена ожидает, пока клиент отправит первый запрос после получения контроллером домена нового подключения. Если клиент не отправляет первый запрос в этот период времени, сервер отключит клиент. Значение по умолчанию: 120 секунд
• MaxActiveQueries — максимальное количество одновременных операций поиска LDAP, которые могут выполняться одновременно на контроллере домена. После этого предела сервер LDAP возвращает ошибку занятости . Значение по умолчанию: 20

Примечание. Этот элемент управления имеет неправильное взаимодействие со значением MaxPoolThreads. MaxPoolThreads — это элемент управления для каждого процессора, а MaxActiveQueries определяет абсолютное число. Начиная с Windows Server 2003, MaxActiveQueries больше не применяется. Кроме того, MaxActiveQueries не отображается в windows Server 2003 версии NTDSUTIL.

• Минимальное значение: 30
• Значение по умолчанию: 1500

Запуск Ntdsutil.exe

Ntdsutil.exe находится в папке средств поддержки на компакт-диске установки Windows. По умолчанию Ntdsutil.exe в папке System32.

1. Нажмите кнопку Пуск и выберите пункт Выполнить.
2. В текстовом поле « Открыть» введите ntdsutil и нажмите клавишу ВВОД. Чтобы просмотреть справку в любое время, введите ? ее в командной строке.

Просмотр текущих параметров политики

1. В командной Ntdsutil.exe введите LDAP policies и нажмите клавишу ВВОД.
2. В командной строке политики LDAP введите connections и нажмите клавишу ВВОД.
3. В командной строке подключения к серверу введите connect to server и нажмите клавишу ВВОД. Вы хотите подключиться к серверу, с которым вы работаете в данный момент.
4. В командной строке подключения к серверу введите **q** и нажмите клавишу ВВОД, чтобы вернуться к предыдущему меню.
5. В командной строке политики LDAP введите Show Values и нажмите клавишу ВВОД.

Отображается отображение политик в том виде, в котором они существуют.

Изменение параметров политики

1. В командной Ntdsutil.exe введите LDAP policies и нажмите клавишу ВВОД.
2. В командной строке политики LDAP введите Set to и нажмите клавишу ВВОД. Например, введите «Задать maxPoolThreads» в значение 8. Этот параметр изменяется при добавлении другого процессора на сервер.
3. Эту команду можно использовать Show Values для проверки изменений. Чтобы сохранить изменения, используйте фиксацию изменений.
4. По завершении введите и q нажмите клавишу ВВОД.
5. Чтобы выйти Ntdsutil.exe, в командной строке введите q и нажмите клавишу ВВОД.

В этой процедуре отображаются только параметры политики домена по умолчанию. Если вы применяли собственный параметр политики, он не отображается.

Требование перезагрузки

Если изменить значения политики запросов, которую в настоящее время использует контроллер домена, эти изменения вступает в силу без перезагрузки. Однако если создается новая политика запросов, для того чтобы новая политика запроса вступает в силу, требуется перезагрузка.

Рекомендации по изменению значений запросов

Для обеспечения устойчивости сервера домена не рекомендуется увеличивать время ожидания на 120 секунд. Формирование более эффективных запросов является предпочтительным решением. Дополнительные сведения о создании эффективных запросов см. в статье «Создание более эффективных приложений Microsoft Active Directory-Enabled».

Однако если изменение запроса не является вариантом, увеличьте значение времени ожидания только на одном контроллере домена или только на одном сайте. Инструкции см. в следующем разделе. Если этот параметр применяется к одному контроллеру домена, уменьшите приоритет DNS LDAP на контроллере домена, чтобы клиенты с меньшей вероятностью могли использовать сервер для проверки подлинности. На контроллере домена с приоритетом увеличения используйте следующий параметр реестра, чтобы задать: LdapSrvPriority

В меню «Правка » выберите «Добавить значение» и добавьте следующее значение реестра:

• Имя записи: LdapSrvPriority
• Тип данных: REG_DWORD
• Значение: задайте значение приоритета.

Дополнительные сведения см. в статье «Оптимизация расположения контроллера домена или глобального каталога, расположенного за пределами сайта клиента».

Инструкции по настройке для каждого контроллера домена или политики сайта

1. Создайте политику запросов в разделе CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, forest root.
2. Задайте контроллер домена или сайт, чтобы он указывал на новую политику, введя различающееся имя новой политики в атрибуте Query-Policy-Object . Расположение атрибута выглядит следующим образом:
   • Расположение контроллера домена: CN=NTDS Settings, CN= DomainControllerName, CN=Servers,CN= site name,CN=Sites,CN=Configuration, forest root.
   • Расположение сайта — CN=NTDS Site Settings,CN= имя сайта,CN=Sites,CN=Configuration, forest root.

Образец сценария

Для создания файла Ldifde можно использовать следующий текст. Этот файл можно импортировать, чтобы создать политику со значением времени ожидания 10 минут. Скопируйте этот текст в файл Ldappolicy.ldf и выполните следующую команду, где корень леса — это различающееся имя корня леса. Оставьте DC=X как есть. Это константа, которая будет заменена корневым именем леса при выполнении скрипта. Константа X не указывает имя контроллера домена.

ldifde -i -f ldappolicy.ldf -v -c DC=X DC= forest root 

Запуск скрипта Ldifde

dn: CN=Extended Timeout,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=X changetype: add instanceType: 4 lDAPAdminLimits: MaxReceiveBuffer=10485760 lDAPAdminLimits: MaxDatagramRecv=1024 lDAPAdminLimits: MaxPoolThreads=4 lDAPAdminLimits: MaxResultSetSize=262144 lDAPAdminLimits: MaxTempTableSize=10000 lDAPAdminLimits: MaxQueryDuration=300 lDAPAdminLimits: MaxPageSize=1000 lDAPAdminLimits: MaxNotificationPerConn=5 lDAPAdminLimits: MaxActiveQueries=20 lDAPAdminLimits: MaxConnIdleTime=900 lDAPAdminLimits: InitRecvTimeout=120 lDAPAdminLimits: MaxConnections=5000 objectClass: queryPolicy showInAdvancedViewOnly: TRUE 

После импорта файла можно изменить значения запроса с помощью Adsiedit.msc или Ldp.exe. Параметр MaxQueryDuration в этом скрипте — 5 минут.

Чтобы связать политику с контроллером домена, используйте файл импорта LDIF следующим образом:

dn: CN=NTDS Settings,CN=DC1,CN=Servers,CN=site1,CN=Sites,CN=Configuration, DC=X changetype: modify add: queryPolicyobject queryPolicyobject: CN=Extended Timeout,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=X 

Импортируйте его с помощью следующей команды:

ldifde -i -f link-policy-dc.ldf -v -c DC=X DC= **forest root** 

Для сайта файл импорта LDIF будет содержать:

dn: CN=NTDS Site Settings,CN=site1,CN=Sites,CN=Configuration, DC=X changetype: modify add: queryPolicyobject queryPolicyobject: CN=Extended Timeout,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=X 

Ntdsutil.exe отображает значение только в политике запросов по умолчанию. Если определены какие-либо пользовательские политики, они не отображаются Ntdsutil.exe.

Обратная связь

Были ли сведения на этой странице полезными?