ไม่สามารถติดต่อเซิร์ฟเวอร์ LDAP กับ Google WorkspaceLDAP

yetty

6/2/23 15:24

ฉันพยายามทดสอบการเชื่อมต่อกับเซิร์ฟเวอร์ Google Workspace LDAP ฉันติดตามหน้าความช่วยเหลือนี้: https://support.google.com/a/answer/9190869?hl=th#ldap-query&zippy=%2Cldapsearch

แต่เมื่อฉันเรียกใช้คำสั่งที่แนะนำ ฉันได้รับข้อผิดพลาดนี้:

root@debian:/etc/freeradius/3.0# LDAPTLS_CERT=/etc/freeradius/3.0/certs/ldap-client.crt LDAPTLS_KEY=/etc/freeradius/3.0/certs/ldap-client.key ldapsearch -v -H ldaps: //ldap.google.com:636 -b dc=MYDOMAIN,dc=cz '([email protected])'
ldap_initialize( ldaps://ldap.google.com:636/??base )
ldap_sasl_interactive_bind_s: ไม่สามารถติดต่อเซิร์ฟเวอร์ LDAP (-1)
    ข้อมูลเพิ่มเติม: (รหัสข้อผิดพลาดที่ไม่รู้จัก)

มีความคิดอะไรผิด?

518

0 + 0

ลดา

Score:1

Server

Andrew Grasso

12/2/23 19:45

บน Ubuntu 20.04 ฉันพบว่าฉันต้องปิดใช้งาน TLS1.3 โดยการตั้งค่า LDAPTLS_CIPHER_SUITE='ปกติ:!VERS-TLS1.3' เพื่อให้ ldapsearch ทำงานร่วมกับ Google LDAP

ฉันมาที่นี่ได้อย่างไร:

คำสั่ง ldapsearch สนับสนุนการพิมพ์การดีบักที่เพิ่มขึ้นไปยังคอนโซลโดยใช้ -d ดีบักระดับ ธง. ดีบักระดับ 1 (-d1) ก็เพียงพอแล้วสำหรับฉัน ระดับการดีบักที่สูงขึ้นจะดูละเอียดและอ่านยาก

คำสั่ง debug อย่างง่ายอาจมีลักษณะดังนี้:

คนจรจัด@โฟกัส:~$ ldapsearch -H ldaps://ldap.google.com:636 -d1

จากที่นี่ฉันเห็นว่าใบรับรองไม่น่าเชื่อถือ:

...
พยายามเชื่อมต่อ:
เชื่อมต่อความสำเร็จ
TLS: peer cert ไม่น่าเชื่อถือหรือถูกเพิกถอน (0x42)
TLS: ไม่สามารถเชื่อมต่อได้: (รหัสข้อผิดพลาดที่ไม่รู้จัก)
...

สิ่งนี้ไม่สมเหตุสมผลเลย ใบรับรองที่ส่งคืนโดย ldap.google.com นั้นถูกต้องและสามารถตรวจสอบกับของฉันได้ /etc/ssl/certs/ca-certificates.crt โดยใช้ openssl s_client -เชื่อมต่อ ldap.google.com:636 -CAfile /etc/ssl/certs/ca-certificates.crt แต่ ldapsearch ไม่ไว้วางใจ

ในที่สุดฉันก็เจอ โพสต์นี้ ในรายชื่อส่งเมล OpenLDAP ซึ่งอธิบายว่าปัญหาเกิดจากการที่ SNI ไม่ได้รับการสนับสนุน ซึ่งจะทำให้ Google ส่งคืนใบรับรองที่ลงนามด้วยตนเองที่ไม่ถูกต้อง ฉันไม่พบวิธีแก้ไขที่เหมาะสม แต่วิธีแก้ปัญหาด้านล่างเพื่อปิดใช้งาน TLS1.3 โดยการตั้งค่า LDAPTLS_CIPHER_SUITE ตัวแปรสภาพแวดล้อมใช้งานได้สำหรับฉันเพราะ OpenLDAP ของฉันใช้ GnuTLS หากคุณใช้ OpenSSL คุณอาจต้องหาวิธีแก้ไขปัญหาอื่น แต่สาเหตุที่แท้จริงยังคงเหมือนเดิม

0 + 0

Kulap

คำถามนี้เป็นภาษาอื่นๆ:

EN: Can't contact LDAP server with Google WorkspaceLDAP

TH: ไม่สามารถติดต่อเซิร์ฟเวอร์ LDAP กับ Google WorkspaceLDAP

RO: Nu se poate contacta serverul LDAP cu Google WorkspaceLDAP

RU: Не удается связаться с сервером LDAP с помощью Google WorkspaceLDAP

VI: Không thể kết nối với máy chủ LDAP bằng Google WorkspaceLDAP

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา