Serwer LDAP jest obsługiwany w systemie Solaris. Klientem jest CentOS. Uwierzytelnianie OpenLDAP / NSLCD / SSH przez LDAP działa dobrze, ale nie jestem w stanie używać poleceń ldapsearch do debugowania problemów z LDAP.
[root@tst-01 ~]# ldapsearch
SASL/EXTERNAL authentication started
ldap_sasl_interactive_bind_s: Unknown authentication method (-6)
additional info: SASL(-4): no mechanism available:
[root@tst-01 ~]# cat /etc/openldap/ldap.conf
TLS_CACERTDIR /etc/openldap/cacerts
URI ldap://ldap1.tst.domain.tld ldap://ldap2.tst.domain.tld
BASE dc=tst,dc=domain,dc=tld
[root@tst-01 ~]# ls -al /etc/openldap/cacerts
total 12
drwxr-xr-x. 2 root root 4096 Jun 6 10:31 .
drwxr-xr-x. 3 root root 4096 Jun 10 10:12 ..
-rw-r--r--. 1 root root 895 Jun 6 10:01 cacert.pem
lrwxrwxrwx. 1 root root 10 Jun 6 10:31 cf848aa4.0 -> cacert.pem
[root@tst-01 ~]#
Próbowałem uwierzytelnienia za pomocą certyfikatu za pomocą ldapsearch, podając /etc/openldap/cacerts/cacert.pem jako parametr, ale nie zaakceptował tego certyfikatu do uwierzytelnienia.
/etc/openldap/ldap.conf
ie, to prawdopodobnie powinno działać: ldapsearch -x -D "<bind dn>" -W <zapytanie >Wydaje się, że zadaję to samo pytanie na: https://stackoverflow.com/questions/27571558/how-was-authentication-built-on-ldap
Zobacz http://thecarlhall.wordpress.com/2011/01/04/ldap-authentication-authorization-dissected-and-digested/ :
Można to streścić jako (eksperyment w wierszu poleceń):
źródło
Uwaga: jeśli nie znasz swojej pełnej nazwy wyróżniającej wiązania, możesz również użyć zwykłej nazwy użytkownika lub adresu e-mail
-U
źródło
Korzystamy z FreeIPA / IDM i mogłem się uwierzytelnić w oparciu o następujące informacje:
Wyjaśnienieuid=<my username>
uid=<my username>
jest filtrem (filtr wyszukiwania LDAP zgodny z RFC 4515)uid=<my username>
to zapytanie / filtr do wykonaniao ldif-wrap=no
wyłącza zawijanie wyników-W
siłyldapsearch
do zapytania o hasło do wiązania nazwy wyróżniającejuid=<my username>,cn=users,cn=accounts,dc=somedcdom,dc=com
Po wyświetleniu monitu o podanie hasła dla tego użytkownika monit będzie wyglądał następująco:
W celu uzyskania informacji z
ldapsearch
manpage i pomocy CLI:Pełny przykład
źródło