Rozwiązywanie problemów z Linux LDAP

Rozwiązywanie problemów z Linux LDAP
LDAP to dość intuicyjne narzędzie uwierzytelniania. Nie oznacza to jednak, że protokół jest pozbawiony problemów. Istnieją problemy, których od czasu do czasu będzie doświadczać każdego użytkownika podczas interakcji z LDAP.

Oczywiście problemy te mogą być koszmarem, głównie jeśli jesteś nowy w tym narzędziu. Nie martw się, ponieważ zawsze istnieją rozwiązania każdego problemu LDAP Linux.

W tym artykule przedstawiono możliwe problemy LDAP Linux, z którymi możesz się zmierzyć wraz z ich możliwymi rozwiązaniami. Wśród najważniejszych problemów LDAP Linux, na które będziemy szukać, obejmują problemy z konfiguracją, problemy z połączeniem i rozwiązywanie problemów z grupami użytkowników i problemów użytkowników.

Zajmujemy się tym problemem, zakładając, że masz już pobranie i zainstalowanie Linux LDAP. Zajmujemy się również tym tematem, zakładając, że w systemach masz wszystkie główne narzędzia i pakiety LDAP. Ale krótko zwrócimy się do tego warunku wstępnego, jeśli nie mamy ich na miejscu.

Chodźmy!

Wymagania wstępne

1. Potwierdź, że Twoje maszyny mają funkcjonalne, poprawnie zainstalowane działanie Linux LDAP. Użyj następującego polecenia, aby zainstalować LDAP, jeśli go nie masz. Narzędzie ma zastosowanie, jeśli używasz Ubuntu:

2. Zainstaluj polecenie LDAPSEARCH, które przydaje się do testowania i rozwiązywania problemów z serwerem katalogu LDAP. Poniższe polecenie nie tylko zainstaluje LDAPSEARCH, ale równo zainstaluje inne demony LDAP:

3. Monitoruj status serwera LDAP, aby upewnić się, że wszystko działa dobrze. Podczas gdy istnieją różne elementy, które musisz sprawdzić i potwierdzić. Stan klienta LDAP opiera się na wielu elementach. Wyjaśnimy niektóre polecenia, które pomogą Ci ustalić warunek statusu klienta:

Sprawdź, czy LDAP_CACHEMGR działa dobrze - LDAP_CACHEMGR musi działać poprawnie, aby uzyskać pożądane wyjście. Dwa sposoby weryfikacji jego statusu jest wykorzystanie polecenia PS wraz z opcją EF jak na następującej ilustracji:

Alternatywnie możesz przekazać opcję -G przez LDAP_CACHEMGR, aby sprawdzić informacje o stanie klienta i zdiagnozować wszelkie możliwe problemy.

Potwierdź istniejące informacje o profilu - Możesz założyć status Superuser i sprawdzić informacje o profilu, jak pokazano na następującej ilustracji:

Sprawdź dane klienta z dowolnego komputera nie-klienta - Możesz użyć polecenia LDAPSEACH, aby sprawdzić dane serwera. To polecenie jest użyteczne tylko wtedy, gdy jeszcze nie utworzyłeś klienta i chcesz sprawdzić dane na serwerze.

Rozwiązywanie problemów z Linux LDAP Problemy

Omówmy wspólne problemy konfiguracyjne Linux LDAP wraz z ich rozwiązaniami!

Nazwa hosta nierozwiązana
Klient LDAP ma na celu zwrócenie w pełni wykwalifikowanych nazw po wyszukiwaniu hosta. Wymóg jest taki, że kwalifikowane nazwy muszą mieć co najmniej jedną kropkę, aby spełnić standardy kwalifikacyjne. Klient powinien zwrócić kwalifikowane nazwy.

Na przykład, jeśli nazwa przechowywana jest Kenhint.Tech, Klient zwraca Kenhint.Tech jako nazwa hosta, ponieważ ma jedną kropkę, a zatem uważana za w pełni wykwalifikowaną nazwę. Jednak klient dołącza część domeny nazwy, jeśli zapisana nazwa nie jest w pełni wykwalifikowana. Na przykład, jeśli przechowywana nazwa to Kenhint, zwrócona nazwa staje się Kenhint.Nazwa domeny.

Nieudane logowanie
Klienci LDAP często używają modułów uwierzytelniania wtyczki do uwierzytelniania użytkowników podczas procedur logowania. Kiedy używasz zwykłej wersji PAM, serwer odczytuje hasło, zanim licznik po stronie klienta je sprawdzi. Ta procedura logowania może czasem zawieść w następujących warunkach:

  • Usługa hasła nie używa LDAP w /etc/nsswitch.conf plik.
  • Niewłaściwe hasło przez agenta proxy.
  • Powodem odczytania przez agenta proxy Agenta użytkownika może być również powodem. W takim przypadku zezwól agentowi proxy odczytać hasło, ponieważ agent proxy musi zwrócić hasło użytkownika w celu porównania.
  • Brakuje z góry zdefiniowanego hasła dla użytkownika.
  • Niemożność osiągnięcia hasła użytkownika.
  • Nie ma zaszyfrowanych przechowywanych.
  • W przestrzeni nazw LDAP brakuje predefiniowanego użytkownika.
  • Nieosiągalne serwery LDAP.

Możesz sprawdzić status serwera za pomocą następującego polecenia:

Testowanie połączenia w Linux LDAP

Możesz przetestować połączenie z następującym poleceniem:

Walidacja filtrów LDAP

Możesz użyć polecenia LDAPSEARCH, aby utworzyć narzędzie wyszukiwania na podstawie filtrów LDAP i pobrać dane z serwerów LDAP. W przypadku, gdy wyjście wyszukiwania przywraca jeden lub więcej wpisów, wyszukiwanie jest uważane za prawidłowe. Jednak brak wpisu w wyniku wyszukiwania oznacza, że ​​filtr LDAP jest nieprawidłowy.

Wniosek

Przykłady są typowymi problemami, które możesz napotkać podczas interakcji z protokołem LDAP. Z dostarczonych rozwiązań mam nadzieję, że możesz je szybko rozwiązać, jeśli zmierzysz się z którymkolwiek z tych problemów.

Źródła:

  • https: // www.IBM.COM/DOCS/ES/Cloud-Private/3.2.0?Temat = LDAP-TROUBLESHOOTING-CONFIGURUCJA
  • https: // www.SUSE.com/support/kb/doc/?ID = 000017935
  • https: // www2.MicroStrategy.com/productThelp/current/SystemAdmin/WebHelp
    /Lang_1033/content/problemating_ldap_authentication.HTM
  • https: // dokumenty.wyrocznia.COM/CD/E19683-01/817-2655/6MIA7MUL5/INDEX.html
  • https: // społeczność.Spiceworks.com/temat/1232649-tobiessooting-ldap-ise
  • https: // dokumenty.Rapid7.com/insightIdr/ldap-tublshooting/