ldap está funcionando mas não ldaps corretamente

2

Estou um pouco perdido com o ldapsearch ... Eu tenho que configurar uma nuvem com autenticação AD.

isso está funcionando bem

 ldapsearch -h server -p 389 -x -D 'admin.test' -w 'xxx' -b 'cn=admin.test,cn=users,dc=domain,dc=com'

Mas eu quero fazer alguma segurança e então eu tento ldaps.

Isso está funcionando:

> ldapsearch -H ldaps://server -x -D 'admin.test' -w 'xxx' -b 'cn=admin.test,cn=users,dc=domain,dc=com'

E isso também:

> ldapsearch -H ldaps://server:636 -x -D 'admin.test' -w 'xxx' -b 'cn=admin.test,cn=users,dc=domain,dc=com'

Mas isso não funciona.

ldapsearch -h server -p 636 -x -D 'admin.test' -w 'xxx' -b 'cn=admin.test,cn=users,dc=domain,dc=com' -v
ldap_initialize( ldap://srv-dc01.get.com:636 )
ldap_result: Can't contact LDAP server (-1)

Eu não sei o que está acontecendo. E a nuvem quer um URL e não um URI. Outra questão, é possível bloquear o ldap e deixar os ldaps funcionando?

SO: Linux CentOS 7 com selinux Enforced DC está no servidor 2008 R2.

Muito obrigado. Saudações, Alexandre

    
por Alex Lum 30.04.2015 / 12:47

2 respostas

1

ATUALIZAÇÃO:

De esta página ele aparece que

The fully-qualified domain name is always required with the -h option. This prevents man-in-the-middle attacks.

e isso:

Although using the ldaps protocol is supported, it is deprecated.

Mais, de man ldapsearch :

-h: Specify an alternate host on which the ldap server is running. Deprecated in favor of -H.

Para permitir apenas conexões seguras, dê uma olhada aqui , ou outra solução fácil é uma regra de iptable:

iptables -A OUTPUT -p tcp --dport 389 -j DROP
iptables -A INPUT  -p tcp --destination-port 389  -j DROP
    
por 30.04.2015 / 13:17
0

Obrigado, eu tentei com -Z e -ZZ.

 ldapsearch -h server -p 636 -x -D 'admin.test' -w 'xxx' -b cn=admin.test,cn=users,dc=domain,dc=com' -v -Z
ldap_initialize( ldap://server.domain.com:636 )
ldap_start_tls: Can't contact LDAP server (-1)
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)

Com -ZZ, a mesma mensagem de erro sem ldap_sasl_bind (SIMPLE): Não é possível entrar em contato com o servidor LDAP (-1)

Você está certo, este comando não inicia o bom protocolo. Existe uma maneira de forçar isso?

    
por 30.04.2015 / 14:23