Linux и Windows: помощь админам и пользователям

Администрируем и настраиваем Windows, Linux.



Метод тестирования подключения LDAP через SSL

Рубрика: Администрирование Windows
Метки: | |
Четверг, 19 ноября 2009 г.
Просмотров: 15152
Подписаться на комментарии по RSS


В данной статье объясняется как протестировать правильность настроек LDAP/SSL на сервере каталогов (например контроллер домена).

Сперва вам необходимо получить утилиту LDP.exe. LDP это - это клиент для Lightweight Directory Access Protocol (LDAP), который позволяет вам выполнять операции на любом LDAP-совместимом сервере каталогов, подобном Active Directory, ADLDS или ADAM.

LDP для различных платформ распологается в разных местах:

  • Windows XP Service Pack 2 Support Tools
  • Для Windows 2000, Support tools распложен в папке Support\Tools на диске с Windows 2000
  • Windows Server 2003 Service Pack 2 32-bit Support Tools
  • LDP.exe установлен по умолчанию в Windows Server 2008 и Windows Server 2008 R2

 

Для проверки подключения LDAP через SSL, сделайте следующее:

  • Запустите утилиту LDP (Start > Run > LDP)
  • В меню LDP нажмите Connection > Connect
  • Введите имя сервера или его IP адрес, порт (обычно используется 636), и отметив флажок SSL, нажмите OK:
  • Если подключение успешно, вы увидите приблизительно такую картину:
  •  

  • Если вы получили ошибку "Cannot open connection", значит LDP не смог выполнить безопасное подключение к серверу каталога. В этом случае наиболее вероятной причиной является неправильная конфигурация настроек LDAP через SSL. Проверьте имя сервера/IP адрес и номер порта. Вы можете использовать утилиту Portqry для проверки того, что сервер слушает на нужном порту. Используйте "portqry /n servername /e 636" для проверки что servername слушает на порту 636.
  • Следующий LDP вывод сигнализирует о том, что подключение завершилось ошибкой вследствие недоверия к сертификату, используемому в SSL:
ld = ldap_sslinit("dc01", 636, 1);
     Error <0x0> = ldap_set_option(hLdap,LDAP_OPT_PROTOCOL_VERSION, LDAP_VERSION3);
     Error <0x51> = ldap_connect(hLdap, NULL);
     Server error: {empty}
     Error <0x51>: Fail to connect to dc01.

Я нашел отличную утилиту на вебсайте Novell, которая позволяет нам посмотреть SSL сертификат на удаленном сервере каталогов. Скачайте утилиту View Directory Certificate 181 и распакуйте в временную папку. Затем запустите ViewDirCert.exe:

Укажите имя или IP сервера каталогов и нажмите View Certificate. Детали сертификата будут отображены в новом окне. Если сертификат сгенерирован недоверенным Certificate Authority (CA) или это самоподписанный сертификат, которому хост не доверяет, вы увидите предупреждающее сообщение как на скришноте ниже:

Мы можете настроить хост на доверие этому сертификату либо добавить CA в хранилище Trusted Root Certifications Authorities на локальной машине.

 

 

Полезные ссылки:

Читайте отличный гаджет блог 2usb.ru - пополнения в новых usb-гаджетах каждый день.

twitter.com facebook.com vkontakte.ru odnoklassniki.ru mail.ru ya.ru rutvit.ru myspace.com technorati.com digg.com friendfeed.com pikabu.ru blogger.com liveinternet.ru livejournal.ru memori.ru google.com bobrdobr.ru mister-wong.ru yahoo.com yandex.ru del.icio.us

Оставьте комментарий!

Используйте нормальные имена.

Имя и сайт используются только при регистрации

Если вы уже зарегистрированы как комментатор или хотите зарегистрироваться, укажите пароль и свой действующий email. При регистрации на указанный адрес придет письмо с кодом активации и ссылкой на ваш персональный аккаунт, где вы сможете изменить свои данные, включая адрес сайта, ник, описание, контакты и т.д., а также подписку на новые комментарии.

(обязательно)