Der LDAP-Server wird unter Solaris gehostet. Der Client ist CentOS. OpenLDAP / NSLCD / SSH-Authentifizierung über LDAP funktioniert einwandfrei, aber ich kann die ldapsearch-Befehle nicht zum Debuggen von LDAP-Problemen verwenden.
[root@tst-01 ~]# ldapsearch
SASL/EXTERNAL authentication started
ldap_sasl_interactive_bind_s: Unknown authentication method (-6)
additional info: SASL(-4): no mechanism available:
[root@tst-01 ~]# cat /etc/openldap/ldap.conf
TLS_CACERTDIR /etc/openldap/cacerts
URI ldap://ldap1.tst.domain.tld ldap://ldap2.tst.domain.tld
BASE dc=tst,dc=domain,dc=tld
[root@tst-01 ~]# ls -al /etc/openldap/cacerts
total 12
drwxr-xr-x. 2 root root 4096 Jun 6 10:31 .
drwxr-xr-x. 3 root root 4096 Jun 10 10:12 ..
-rw-r--r--. 1 root root 895 Jun 6 10:01 cacert.pem
lrwxrwxrwx. 1 root root 10 Jun 6 10:31 cf848aa4.0 -> cacert.pem
[root@tst-01 ~]#
Ich habe versucht, mich mit einem Zertifikat über ldapsearch zu authentifizieren, wobei ich /etc/openldap/cacerts/cacert.pem als Parameter angegeben habe, aber es hat dieses Zertifikat für die Authentifizierung nicht akzeptiert.
/etc/openldap/ldap.conf
Suchbasis oder den Host angeben müssen, wenn Sie mit den hier angegebenen zufrieden sind. Das sollte wahrscheinlich funktionieren: ldapsearch -x -D "<bind dn>" -W <query >Scheint, dass ich die gleiche Frage stelle: https://stackoverflow.com/questions/27571558/how-was-authentication-built-on-ldap
Siehe http://thecarlhall.wordpress.com/2011/01/04/ldap-authentication-authorization-dissected-and-digested/ :
Das kann zusammengefasst werden als (Experiment in der Kommandozeile):
quelle
Hinweis: Wenn Sie Ihren vollständigen Bindungs-DN nicht kennen, können Sie auch einfach Ihren normalen Benutzernamen oder Ihre E-Mail-Adresse mit verwenden
-U
quelle
Wir verwenden FreeIPA / IDM, und ich konnte mich anhand der folgenden Kriterien authentifizieren:
Erläuterunguid=<my username>
uid=<my username>
ist der Filter (RFC 4515-kompatibler LDAP-Suchfilter)uid=<my username>
ist die Abfrage / der Filter, die / der durchgeführt werden sollo ldif-wrap=no
Deaktiviert das Umbrechen von Ergebnissen-W
erzwungeneldapsearch
Abfrage des Kennworts für den definierten Bindungsnamenuid=<my username>,cn=users,cn=accounts,dc=somedcdom,dc=com
Wenn Sie zur Eingabe des Kennworts für diesen Benutzer aufgefordert werden, sieht die Eingabeaufforderung folgendermaßen aus:
Als Referenz aus der
ldapsearch
Manpage & CLI-Hilfe:Vollständiges Beispiel
quelle