我有点迷路与ldapsearch …我必须configuration与ADauthentication的云。
这很好
ldapsearch -h server -p 389 -x -D 'admin.test' -w 'xxx' -b 'cn=admin.test,cn=users,dc=domain,dc=com' 但我想做一些安全,所以我尝试ldaps。
这是工作:
> ldapsearch -H ldaps://server -x -D 'admin.test' -w 'xxx' -b 'cn=admin.test,cn=users,dc=domain,dc=com'
这也是:
> ldapsearch -H ldaps://server:636 -x -D 'admin.test' -w 'xxx' -b 'cn=admin.test,cn=users,dc=domain,dc=com'
但是这不起作用。
ldapsearch -h server -p 636 -x -D 'admin.test' -w 'xxx' -b 'cn=admin.test,cn=users,dc=domain,dc=com' -v ldap_initialize( ldap://srv-dc01.get.com:636 ) ldap_result: Can't contact LDAP server (-1)
我不知道发生了什么事。 云需要一个URL而不是一个URI。 其他问题,是否可以阻止ldap并让ldaps工作?
操作系统:Linux CentOS 7与selinux强制DC位于服务器2008 R2上。
非常感谢你。 问候,亚历山大
更新:
从这个页面看来
使用-h选项时, 必须使用完全限定的域名。 这可以防止中间人攻击。
然后:
尽pipe支持使用ldaps协议,但不推荐使用。
更多来自man ldapsearch :
-h :指定运行ldap服务器的备用主机。 不赞成使用-H 。
只允许安全连接,看看这里 ,或另一个简单的解决scheme是一个iptable规则:
iptables -A OUTPUT -p tcp --dport 389 -j DROP iptables -A INPUT -p tcp --destination-port 389 -j DROP
谢谢,我尝试了-Z和-ZZ。
ldapsearch -h server -p 636 -x -D 'admin.test' -w 'xxx' -b cn=admin.test,cn=users,dc=domain,dc=com' -v -Z ldap_initialize( ldap://server.domain.com:636 ) ldap_start_tls: Can't contact LDAP server (-1) ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
使用-ZZ,没有ldap_sasl_bind的相同错误信息(SIMPLE):无法联系LDAP服务器(-1)
你是对的,这个命令并没有启动好的协议。 有没有办法强制这个?