2 votes

DurkenSA avatar

ldapsearch - Authentification forte(er) requise - Cryptage du transport requis

Demandé el 17 de Septembre, 2018
Quand la question a-t-elle été
13089 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'essaie d'effectuer une recherche dans l'AD de mon entreprise avec ldapsearch . Cependant, j'obtiens toujours l'erreur :

ldap_bind: Strong(er) authentication required (8)
        additional info: BindSimple: Transport encryption required.

J'ai essayé d'utiliser LDAPS dans toutes les combinaisons possibles, mais je n'arrive pas à me connecter au serveur autrement que par LDAP sur le port par défaut.
Bizarrement, je n'ai aucun problème avec Active Directory Explorer.

Je pensais que le pare-feu n'était peut-être pas configuré correctement et bloquait le port LDAPS (636), mais cela n'expliquerait pas le fonctionnement d'Active Directory Explorer...

GitLab semble également pouvoir s'y connecter sans problème. Sauf qu'il ne s'authentifie pas. Mais c'est ce que j'essaie de déboguer avec ldapsearch también.

C'est la commande que j'utilise :

ldapsearch -D "cn=myuser,cn=Users,dc=company,dc=local" -w "<password>" \
    -p 389 -h 10.128.1.254 \
    -b "cn=Users,dc=company,dc=local"

Le serveur est correct, de même que le bind_dn (selon Active Directory Explorer) et le mot de passe correspondant, j'ai essayé d'utiliser des majuscules et des minuscules pour les éléments suivants cn J'ai essayé toutes les configurations possibles de l'utilisation de LDAPS (comme -H ldaps://10.128.1.254 , -H ldaps://10.128.1.254:389 , -H ldaps://10.128.1.254:636 ) et le drapeau -x Je suis donc à court d'idées.

Si cela est pertinent, le serveur AD est le serveur Active Directory sur Synology/DSM, qui est un serveur SAMBA linux sous le capot.

Toute aide est la bienvenue.

UPDATE :

Il semble que l'ajout de -Y NTLM me permet d'aller plus loin.

Maintenant, je comprends :

SASL/NTLM authentication started
ldap_sasl_interactive_bind_s: Invalid credentials (49)
        additional info: SASL:[NTLM]: NT_STATUS_OBJECT_NAME_NOT_FOUND

ce qui est bizarre, car je sais que le mot de passe est correct.

MISE À JOUR 2 :

En cours d'utilisation -Y GSSAPI crée cette erreur qui ne dit rien :

SASL/GSSAPI authentication started
ldap_sasl_interactive_bind_s: Local error (-2)
        additional info: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure.  Minor code may provide more information (No Kerberos credentials available (default cache: FILE:/tmp/krb5cc_0))

UPDATE 3 :

Le paramètre -ZZ ( -Z too) se termine par cette erreur :

ldap_start_tls: Connect error (-11)
        additional info: The TLS connection was non-properly terminated.
Demandé el 17 de Septembre, 2018 par DurkenSA

Réponses

Trop de publicités?

2voto

Michael Ströder avatar
Michael Ströder Points 205

Êtes-vous sûr que TLS est configuré dans votre déploiement Active Directory ? Il ne l'est pas par défaut.

Quoi qu'il en soit, nous utilisons LDAPS (port par défaut 636) :

ldapsearch -H ldaps://10.128.1.254

Utilisation de LDAP et application de l'opération étendue StartTLS pour réussir (port par défaut 389) :

ldapsearch -H ldap://10.128.1.254 -ZZ

Notez que les utilitaires clients d'OpenLDAP effectuent une vérification stricte du nom d'hôte TLS. Par conséquent, le certificat du serveur doit contenir le nom DNS ou l'adresse IP utilisé avec -H dans l'attribut subjectAltName ou CN du certificat.

Si vous souhaitez utiliser SASL avec GSSAPI/Kerberos, vous devez obtenir au préalable un ticket Kerberos (ticket-granting) avec kinit .

Répondu el 25 de Septembre, 2018 par Michael Ströder (205 Points )

1voto

XolYnrac avatar
XolYnrac Points 1

Si vous utilisez SAMBA comme AD, vous devez ajouter

ldap server require strong auth = no

dans global dans smb.conf, et essayez

ldapsearch -D "cn=myuser,cn=Users,dc=company,dc=local" -x -w "<password>" \
     -h 10.128.1.254 -b "cn=Users,dc=company,dc=local"
Répondu el 24 de Janvier, 2022 par XolYnrac (1 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X