ldapsearch - Autenticação strong (er) requerida - Criptografia de transporte necessária

0

Estou tentando pesquisar o DA da minha empresa com ldapsearch . No entanto, eu sempre recebo o erro:

ldap_bind: Strong(er) authentication required (8)
        additional info: BindSimple: Transport encryption required.

Eu tentei usar LDAPS em todas as combinações possíveis, mas parece que não consigo me conectar ao servidor de nenhuma outra forma além do LDAP na porta padrão.
Estranhamente, não tenho problema algum usando o Active Directory Explorer.

Eu estava pensando que poderia ser que o firewall não estivesse configurado corretamente e bloqueando a porta LDAPS (636), mas isso não explicaria o Active Directory Explorer funcionando ...

O GitLab também parece ser capaz de se conectar a ele também. Só que não vai autenticar. Mas é isso que estou tentando depurar com ldapsearch também.

Esse é o comando que estou usando:

ldapsearch -D "cn=myuser,cn=Users,dc=company,dc=local" -w "<password>" \
    -p 389 -h 10.128.1.254 \
    -b "cn=Users,dc=company,dc=local"

O servidor está correto, assim como o bind_dn (de acordo com o Active Directory Explorer) e a senha correspondente, tentei usar upper minúsculas para coisas como cn , tentei todas as configurações possíveis de usar LDAPS (como -H ldaps://10.128.1.254 , -H ldaps://10.128.1.254:389 , -H ldaps://10.128.1.254:636 ) e a bandeira -x , então estou ficando sem ideias.

Se for relevante, o servidor do AD é o servidor do Active Directory em Synology / DSM, que é um servidor SAMBA Linux sob o capô.

Qualquer ajuda é bastante apprechiated.

ATUALIZAÇÃO:

Parece que adicionar -Y NTLM me ajuda ainda mais.

Agora eu recebo:

SASL/NTLM authentication started
ldap_sasl_interactive_bind_s: Invalid credentials (49)
        additional info: SASL:[NTLM]: NT_STATUS_OBJECT_NAME_NOT_FOUND

o que é estranho, pois sei que a senha está correta.

UPDATE 2:

Agora, usar -Y GSSAPI cria esse erro "nada dizendo":

SASL/GSSAPI authentication started
ldap_sasl_interactive_bind_s: Local error (-2)
        additional info: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure.  Minor code may provide more information (No Kerberos credentials available (default cache: FILE:/tmp/krb5cc_0))

UPDATE 3:

O parâmetro -ZZ ( -Z too) termina com este erro:

ldap_start_tls: Connect error (-11)
        additional info: The TLS connection was non-properly terminated.
    
por BrainStone 17.09.2018 / 10:45

1 resposta

0

Tem certeza de que o TLS está configurado na implantação do Active Directory? Não é por padrão.

De qualquer forma, usando LDAPS (porta padrão 636):

ldapsearch -H ldaps://10.128.1.254

Usando LDAP e imponha a operação estendida do StartTLS para ter sucesso (porta padrão 389):

ldapsearch -H ldap://10.128.1.254 -ZZ

Observe que os utilitários clientes do OpenLDAP executam a verificação rigorosa do nome do host TLS. Portanto, o certificado do servidor deve conter o nome DNS ou o endereço IP usado com -H no subjectAltName ou no atributo CN do certificado.

Se você deseja usar SASL com GSSAPI / Kerberos, é necessário obter um tíquete de concessão de tíquete Kerberos antes com kinit .

    
por 25.09.2018 / 14:41