Linux и Windows: помощь админам и пользователям

Администрируем и настраиваем Windows, Linux.

Метод тестирования подключения LDAP через SSL

В данной статье объясняется как протестировать правильность настроек LDAP/SSL на сервере каталогов (например контроллер домена).

Сперва вам необходимо получить утилиту LDP.exe. LDP это — это клиент для Lightweight Directory Access Protocol (LDAP), который позволяет вам выполнять операции на любом LDAP-совместимом сервере каталогов, подобном Active Directory, ADLDS или ADAM.

LDP для различных платформ распологается в разных местах:

• Windows XP Service Pack 2 Support Tools
• Для Windows 2000, Support tools распложен в папке Support\Tools на диске с Windows 2000
• Windows Server 2003 Service Pack 2 32-bit Support Tools
• LDP.exe установлен по умолчанию в Windows Server 2008 и Windows Server 2008 R2

Для проверки подключения LDAP через SSL, сделайте следующее:

• Запустите утилиту LDP (Start >Run >LDP)
• В меню LDP нажмите Connection >Connect
• Введите имя сервера или его IP адрес, порт (обычно используется 636), и отметив флажок SSL, нажмите OK:

Если подключение успешно, вы увидите приблизительно такую картину:

• Если вы получили ошибку «Cannot open connection«, значит LDP не смог выполнить безопасное подключение к серверу каталога. В этом случае наиболее вероятной причиной является неправильная конфигурация настроек LDAP через SSL. Проверьте имя сервера/IP адрес и номер порта. Вы можете использовать утилиту Portqry для проверки того, что сервер слушает на нужном порту. Используйте «portqry /n servername /e 636» для проверки что servername слушает на порту 636.
• Следующий LDP вывод сигнализирует о том, что подключение завершилось ошибкой вследствие недоверия к сертификату, используемому в SSL:

Я нашел отличную утилиту на вебсайте Novell, которая позволяет нам посмотреть SSL сертификат на удаленном сервере каталогов. Скачайте утилиту View Directory Certificate 181 и распакуйте в временную папку. Затем запустите ViewDirCert.exe:

Укажите имя или IP сервера каталогов и нажмите View Certificate. Детали сертификата будут отображены в новом окне. Если сертификат сгенерирован недоверенным Certificate Authority (CA) или это самоподписанный сертификат, которому хост не доверяет, вы увидите предупреждающее сообщение как на скришноте ниже:

Мы можете настроить хост на доверие этому сертификату либо добавить CA в хранилище Trusted Root Certifications Authorities на локальной машине.

Вики IT-KB

Пошаговые руководства, шпаргалки, полезные ссылки.

Инструменты пользователя

Инструменты сайта

Боковая панель

Утилита ldapsearch (клиент OpenLDAP) и проверка подключения к контроллеру домена Active Directory

Проверку выполняем на примере Debian GNU/Linux 8 (Jessie). Сначала убедимся в том, что клиент OpenLDAP установлен в системе:

Исходные данные для проверки подключения клиента OpenLDAP к LDAP-каталогу на примере контроллера домена Active Directory (AD):

Проверка подключения по протоколу LDAP (TCP 389)

Используется подключение типа ldap:/. Учётные данные пользователя s-LDAP-Check-User передаются по сети в открытом виде:

Проверка подключения по протоколу LDAPS (TCP 636)

Используется подключение типа ldaps:/. LDAP-сессия шифруется с помощью SSL-сертификата, предоставляемого контроллером домена. Чтобы LDAP-клиент доверял сертификату контроллера домена, нам нужно создать файл, содержащий корневые сертификаты доменных Центров сертификации, которыми подписан сертификат контроллера домена. Назовём этот файл, например /etc/ssl/certs/cacerts.pem, и скопируем в него корневые сертификаты доменных ЦС в формате PEM и кодировке Base-64.

Изменим на время проверки конфигурационный файл клиента OpenLDAP /etc/ldap/ldap.conf, указав в переменной TLS_CACERT путь к созданному нами файлу с корневыми сертификатами доменных ЦС:

После этого можно попробовать выполнить поиск по протоколу LDAPS:

Проверка подключения по протоколу LDAP с защитой StartTLS (TCP 389)

Используется подключение типа ldap:/ с дополнительными ключами, включающими TLS : -Z и -ZZ. LDAP-сессия также шифруется с помощью SSL-сертификата, предоставляемого контроллером домена. Первичное подключение к контроллеру домена AD происходит по порту 389, затем создаётся отдельный защищённый TLS-туннель, внутри которого и происходит весь LDAP-обмен между клиентом и сервером. Используется настроенный нами ранее файл корневых сертификатов доменных ЦС.

Автор первичной редакции:
Алексей Максимов
Время публикации: 19.03.2017 18:04

Устранение неполадок LDAP по подключению SSL

В этой статье обсуждаются действия по устранению неполадок подключения LDAP через SSL (LDAPS).

Исходная версия продукта: Windows Server 2003
Исходный номер КБ: 938703

Шаг 1. Проверка сертификата проверки подлинности сервера

Убедитесь, что сертификат проверки подлинности сервера, который вы используете, соответствует следующим требованиям:

Полное доменное имя Active Directory контроллера домена отображается в одном из следующих мест:

• Общее имя (CN) в поле «Тема».
• Расширение альтернативного имени субъекта (SAN) в записи DNS.

Расширение расширенного использования ключей включает идентификатор объекта проверки подлинности сервера (1.3.6.1.5.5.7.3.1).

Связанный закрытый ключ доступен на контроллере домена. Чтобы убедиться, что ключ доступен, используйте certutil -verifykeys команду.

Цепочка сертификатов действительна на клиентский компьютер. Чтобы определить, является ли сертификат действительным, выполните следующие действия.

На контроллере домена используйте оснастку «Сертификаты», чтобы экспортировать SSL-сертификат в файл с именем Serverssl.cer.

Скопируйте файл Serverssl.cer на клиентский компьютер.

На клиентских компьютерах откройте окно командной подсказки.

Чтобы отправить выходные данные команды в файл с именемOutput.txt, введите в команднойOutput.txt:

Для этого необходимо установить средство командной строки Certutil.

Откройте файл Output.txt и найщите ошибки.

Шаг 2. Проверка сертификата проверки подлинности клиента

В некоторых случаях LDAPS использует сертификат проверки подлинности клиента, если он доступен на клиентский компьютер. Если такой сертификат доступен, убедитесь, что он соответствует следующим требованиям:

Расширение расширенного использования ключей включает идентификатор объекта проверки подлинности клиента (1.3.6.1.5.5.7.3.2).

Связанный закрытый ключ доступен на клиентский компьютер. Чтобы убедиться, что ключ доступен, используйте certutil -verifykeys команду.

Цепочка сертификатов действительна на контроллере домена. Чтобы определить, является ли сертификат действительным, выполните следующие действия.

На клиентский компьютер используйте оснастку «Сертификаты», чтобы экспортировать SSL-сертификат в файл с именем Clientssl.cer.

Скопируйте файл Clientssl.cer на сервер.

На сервере откройте окно командной подсказки.

Чтобы отправить выходные данные команды в файл с именемOutputclient.txt, введите в команднойOutputclient.txt:

Откройте файл Outputclient.txt и найщите ошибки.

Шаг 3. Проверка на подлинности нескольких SSL-сертификатов

Определите, соответствуют ли несколько SSL-сертификатов требованиям, описанным в шаге 1. Schannel (поставщик Microsoft SSL) выбирает первый действительный сертификат, который Schannel находит в хранилище локального компьютера. Если в хранилище локальных компьютеров доступно несколько действительных сертификатов, Schannel может не выбрать правильный сертификат. Конфликт с сертификатом ЦС может возникнуть, если ЦС установлен на контроллере домена, к нему вы пытаетесь получить доступ через LDAPS.

Шаг 4. Проверка подключения LDAPS на сервере

Используйте средство Ldp.exe на контроллере домена, чтобы попытаться подключиться к серверу с помощью порта 636. Если не удается подключиться к серверу с помощью порта 636, см. ошибки, Ldp.exe генерирует. Кроме того, просматривает журналы просмотра событий, чтобы найти ошибки. Дополнительные сведения об использовании Ldp.exe для подключения к порту 636 см. в сведениях о включении LDAP через SSLс помощью стороннего сертификационного органа.

Шаг 5. Включить ведение журнала Schannel

Включить ведение журнала событий Schannel на сервере и клиентский компьютер. Дополнительные сведения о в том, как включить ведение журнала событий Schannel, см. в сведениях о том, как включить ведение журнала событий Schannel в Windows и Windows Server.

Устранение неполадок с подключениями LDAP с помощью ETW Using ETW to troubleshoot LDAP connections

Трассировка событий для Windows (ETW) может быть ценным средством устранения неполадок для служб домен Active Directory Services (AD DS). Event Tracing for Windows (ETW) can be a valuable troubleshooting tool for Active Directory Domain Services (AD DS). ETW можно использовать для трассировки обмена данными по протоколуLDAPмежду клиентами Windows и серверами LDAP, включая AD DS контроллеры домена. You can use ETW to trace the Lightweight Directory Access Protocol (LDAP) communications between Windows clients and LDAP servers, including AD DS domain controllers.

Как включить ETW и запустить трассировку How to turn on ETW and start a trace

Включение трассировки событий Windows To turn on ETW

Откройте редактор реестра и создайте следующий подраздел реестра: Open Registry Editor, and create the following registry subkey:

HKEY _ локальный _ компьютер \ система \ CurrentControlSet \ службы \ LDAP \ Трассировка \ * processName* *HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ldap\Tracing\ProcessName*

В этом подразделе processName — это полное имя процесса, который необходимо отследить, включая его расширение (например, «Svchost.exe»). In this subkey, ProcessName is the full name of the process that you want to trace, including its extension (for example, «Svchost.exe»).

(Необязательно) В этом подразделе создайте новую запись с именем PID. (Optional) Under this subkey, create a new entry that is named PID. Чтобы использовать эту запись, назначьте идентификатор процесса в виде значения типа DWORD. To use this entry, assign a process ID as a DWORD value.

Если указать идентификатор процесса, ETW будет отслеживать только экземпляр приложения с этим ИДЕНТИФИКАТОРом процесса. If you specify a process ID, ETW traces only the instance of the application that has this process ID.

Запуск сеанса трассировки To start a tracing session

Откройте окно командной строки и выполните следующую команду: Open a Command Prompt window, and run the following command:

Заполнители в этой команде представляют следующие значения. The placeholders in this command represent the following values.

• — это произвольный идентификатор, который используется для обозначения сеанса трассировки. is an arbitrary identifier that is used to label the tracing session.

Вы должны будете обращаться к этому имени сеанса позже, когда вы останавливаете сеанс трассировки. You will have to refer to this session name later when you stop the tracing session.

• Указывает файл журнала, в который будут записываться события. specifies the log file to which events will be written.
• должно быть одним или несколькими значениями, перечисленными в таблице флаги трассировки. should be one or more of the values that are listed in the trace flags table.

Завершение сеанса трассировки и отключение трассировки событий How to end a tracing session and turn off Event Tracing

Завершение трассировки To stop tracing

В командной строке выполните следующую команду: At the command prompt, run the following command:

В этой команде используется то же имя, которое использовалось в команде tracelog.exe-Start . In this command, is the same name that you used in the tracelog.exe -start command.

Отключение ETW To turn off ETW

• В редакторе реестра удалите подраздел **hKey _ Local _ Machine \ System \ CurrentControlSet \ Services \ LDAP \ Tracing \ * processName***. In Registry Editor, delete the *HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ldap\Tracing\ProcessName* subkey.

Значения для флагов трассировки Values for trace flags

Чтобы использовать флаг, замените значение флага заполнитель в аргументах команды tracelog.exe-Start . To use a flag, substitute the flag value for the placeholder in the arguments of the tracelog.exe -start command.

Можно указать несколько флагов, используя сумму соответствующих значений флагов. You can specify multiple flags by using the sum of the appropriate flag values. Например, чтобы указать флаги ** _ поиска отладки** (0x00000001) и ** _ кэша отладки** (0x00000010), соответствующее значение — 0x00000011. For example, to specify the DEBUG_SEARCH (0x00000001) and DEBUG_CACHE (0x00000010) flags, the appropriate value is 0x00000011.

Имя флага Flag name	Значение флага Flag value	Описание флага Flag description
DEBUG_SEARCH DEBUG_SEARCH	0x00000001 0x00000001	Записывает в журнал запросы поиска и параметры, которые передаются в эти запросы. Logs search requests and the parameters that are passed to those requests. Ответы не регистрируются здесь. Responses are not logged here. В журнал заносятся только запросы поиска. Only the search requests are logged. (Используйте DEBUG_SPEWSEARCH , чтобы регистрировать ответы на запросы поиска.) (Use DEBUG_SPEWSEARCH to log the responses to search requests.)
DEBUG_WRITE DEBUG_WRITE	0x00000002 0x00000002	Записывает в журнал запросы на запись и параметры, которые передаются в эти запросы. Logs write requests and the parameters that are passed to those requests. Запросы на запись включают в себя операции добавления, удаления, изменения и расширенных операций. Write requests include the add, delete, modify, and extended operations.
DEBUG_REFCNT DEBUG_REFCNT	0x00000004 0x00000004	Записывает данные подсчета ссылок и операции для подключений и запросов. Logs reference counting data and operations for connections and requests.
DEBUG_HEAP DEBUG_HEAP	0x00000008 0x00000008	Записывает в журнал все выделения памяти и выпуски памяти. Logs all memory allocations and memory releases.
DEBUG_CACHE DEBUG_CACHE	0x00000010 0x00000010	Регистрирует активность кэша. Logs cache activity. Это действие включает в себя добавление, удаление, попаданий, промахов и т. д. This activity includes adds, removes, hits, misses, and so on.
DEBUG_SSL DEBUG_SSL	0x00000020 0x00000020	Записывает сведения о SSL и ошибки. Logs SSL information and errors.
DEBUG_SPEWSEARCH DEBUG_SPEWSEARCH	0x00000040 0x00000040	Записывает все ответы сервера на запросы поиска. Logs all server responses to search requests. Эти ответы включают атрибуты, которые были запрошены, а также все полученные данные. These responses include the attributes that were requested, plus all data that was received.
DEBUG_SERVERDOWN DEBUG_SERVERDOWN	0x00000080 0x00000080	Записывает ошибки сервера и подключения. Logs server-down and connection errors.
DEBUG_CONNECT DEBUG_CONNECT	0x00000100 0x00000100	Записывает данные, связанные с установлением соединения. Logs data that is related to establishing a connection. Используйте DEBUG_CONNECTION для записи в журнал других данных, связанных с подключениями. Use DEBUG_CONNECTION to log other data that is related to connections.
DEBUG_RECONNECT DEBUG_RECONNECT	0x00000200 0x00000200	Регистрирует действие автоматического повторного подключения. Logs automatic reconnect activity. Это действие включает повторные попытки подключения, сбои и связанные ошибки. This activity includes reconnect attempts, failures, and related errors.
DEBUG_RECEIVEDATA DEBUG_RECEIVEDATA	0x00000400 0x00000400	Регистрирует действия, связанные с получением сообщений с сервера. Logs activity that is related to receiving messages from the server. Это действие включает в себя такие события, как «ожидание ответа от сервера» и ответ, полученный от сервера. This activity includes events such as «waiting on the response from the server» and the response that is received from the server.
DEBUG_BYTES_SENT DEBUG_BYTES_SENT	0x00000800 0x00000800	Записывает в журнал все данные, отправленные клиентом LDAP на сервер. Logs all data sent by the LDAP client to the server. Эта функция по сути ведет журнал пакетов, но всегда записывает в журнал незашифрованные данные. This function is essentially packet logging, but it always logs unencrypted data. (Если пакет отправляется по протоколу SSL, эта функция записывает в журнал незашифрованный пакет.) Это ведение журнала может быть подробным. (If a packet is sent over SSL, this function logs the unencrypted packet.) This logging can be verbose. Этот флаг, вероятно, лучше всего использовать отдельно или в сочетании с DEBUG_BYTES_RECEIVED. This flag is probably best used on its own or combined with DEBUG_BYTES_RECEIVED.
DEBUG_EOM DEBUG_EOM	0x00001000 0x00001000	Записывает события, связанные с достижением конца списка сообщений. Logs events that are related to reaching the end of a message list. Эти события включают такие сведения, как «список сообщений удалены» и т. д. These events include information such as «message list cleared» and so on.
DEBUG_BER DEBUG_BER	0x00002000 0x00002000	Записывает в журнал операции и ошибки, связанные с базовыми правилами кодирования (ЛИЧЕСТВО). Logs operations and errors that are related to Basic Encoding Rules (BER). Эти операции и ошибки включают проблемы с кодированием, проблемами размера буфера и т. д. These operations and errors include problems in encoding, buffer size problems, and so on.
DEBUG_OUTMEMORY DEBUG_OUTMEMORY	0x00004000 0x00004000	Регистрирует ошибки для выделения памяти. Logs failures to allocate memory. Также регистрирует любые сбои при вычислении требуемой памяти (например, переполнение, которое происходит при вычислении требуемого размера буфера). Also logs any failure to compute the required memory (for example, an overflow that occurs when computing the required buffer size).
DEBUG_CONTROLS DEBUG_CONTROLS	0x00008000 0x00008000	Записывает данные, относящиеся к элементам управления. Logs data that relates to controls. Эти данные включают вставленные элементы управления, проблемы, влияющие на элементы управления, обязательные элементы управления в соединении и т. д. This data includes controls that are inserted, problems that affect controls, mandatory controls on a connection, and so on.
DEBUG_BYTES_RECEIVED DEBUG_BYTES_RECEIVED	0x00010000 0x00010000	Записывает все данные, получаемые LDAP-клиентом. Logs all data that is received by the LDAP client. Это, по сути, ведение журнала пакетов, но всегда записывает в журнал незашифрованные данные. This behavior is essentially packet logging, but it always logs unencrypted data. (Если пакет отправляется по протоколу SSL, этот параметр записывает в журнал незашифрованный пакет.) Этот тип ведения журнала может быть подробным. (If a packet is sent over SSL, this option logs the unencrypted packet.) This type of logging can be verbose. Этот флаг, вероятно, лучше всего использовать отдельно или в сочетании с DEBUG_BYTES_SENT. This flag is probably best used on its own or combined with DEBUG_BYTES_SENT.
DEBUG_CLDAP DEBUG_CLDAP	0x00020000 0x00020000	Записывает события, относящиеся только к протоколу UDP и протоколу LDAP без подключения. Logs events that are specific to UDP and connectionless LDAP.
DEBUG_FILTER DEBUG_FILTER	0x00040000 0x00040000	Регистрирует события и ошибки, возникающие при создании фильтра поиска. Logs events and errors that are encountered when you construct a search filter. Примечание . Этот параметр записывает события клиента только во время построения фильтра. Note This option logs client events only during filter construction. Он не регистрирует никаких ответов с сервера о фильтре. It does not log any responses from the server about a filter.
DEBUG_BIND DEBUG_BIND	0x00080000 0x00080000	Регистрирует события и ошибки привязки. Logs bind events and errors. Эти данные включают сведения о согласовании, успешное выполнение привязки, сбой привязки и т. д. This data includes negotiation information, bind success, bind failure, and so on.
DEBUG_NETWORK_ERRORS DEBUG_NETWORK_ERRORS	0x00100000 0x00100000	Записывает общие ошибки сети. Logs general network errors. Эти данные включают ошибки отправки и получения. This data includes send and receive errors. Примечание . Если подключение потеряно или сервер недоступен, DEBUG_SERVERDOWN является предпочтительным тегом. Note If a connection is lost or the server cannot be reached, DEBUG_SERVERDOWN is the preferred tag.
DEBUG_VERBOSE DEBUG_VERBOSE	0x00200000 0x00200000	Записывает в журнал общие сообщения. Logs general messages. Используйте этот параметр для всех сообщений, которые обычно создают большой объем выходных данных. Use this option for any messages that tend to generate a large amount of output. Например, он записывает в журнал такие сообщения, как «конец сообщения», «сервер еще не ответил» и т. д. For example, it logs messages such as «end of message reached,» «server has not responded yet,» and so on. Этот параметр также полезен для универсальных сообщений. This option is also useful for generic messages.
DEBUG_PARSE DEBUG_PARSE	0x00400000 0x00400000	Записывает в журнал общие события и ошибки сообщений, а также события и ошибки синтаксического анализа пакетов и кодирования. Logs general message events and errors plus packet parsing and encoding events and errors.
DEBUG_REFERRALS DEBUG_REFERRALS	0x00800000 0x00800000	Записывает данные о ссылках и отслеживании ссылок. Logs data about referrals and chasing referrals.
DEBUG_REQUEST DEBUG_REQUEST	0x01000000 0x01000000	Регистрирует отслеживание запросов. Logs tracking of requests.
DEBUG_CONNECTION DEBUG_CONNECTION	0x02000000 0x02000000	Записывает в журнал общие данные и ошибки подключения. Logs general connection data and errors.
DEBUG_INIT_TERM DEBUG_INIT_TERM	0x04000000 0x04000000	Записывает в журнал инициализацию и очистку модуля (основная библиотека DLL и т. д.). Logs module initialization and cleanup (DLL Main, and so on).
DEBUG_API_ERRORS DEBUG_API_ERRORS	0x08000000 0x08000000	Поддерживает ведение журнала неправильного использования API. Supports logging incorrect use of the API. Например, этот параметр записывает данные в журнал, если операция привязки вызывается два раза в одном соединении. For example, this option logs data if the bind operation is called two times on the same connection.
DEBUG_ERRORS DEBUG_ERRORS	0x10000000 0x10000000	Регистрирует общие ошибки. Logs general errors. Большинство этих ошибок можно классифицировать как ошибки инициализации модулей, ошибки SSL или ошибки переполнения или потери значимости. Most of these errors can be categorized as module initialization errors, SSL errors, or overflow or underflow errors.
DEBUG_PERFORMANCE DEBUG_PERFORMANCE	0x20000000 0x20000000	Записывает в журнал данные о глобальной статистике действий LDAP после получения ответа от сервера на запрос LDAP. Logs data about process-global LDAP activity statistics after receiving a server response for an LDAP request.

Пример Example

Рассмотрим приложение, App1.exe, которое задает пароли для учетных записей пользователей. Consider an application, App1.exe, that sets passwords for user accounts. Предположим, что App1.exe выдает непредвиденную ошибку. Suppose that App1.exe produces an unexpected error. Чтобы использовать ETW для диагностики этой проблемы, выполните следующие действия: To use ETW to help diagnose this problem, you follow these steps:

В редакторе реестра создайте следующую запись реестра: In Registry Editor, create the following registry entry:

_ _ \ \ \ Трассировка LDAP для CurrentControlSet Services \ System \ \ на локальном компьютере (hKey)App1.exe HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ldap\Tracing\App1.exe

Чтобы запустить сеанс трассировки, откройте окно командной строки и выполните следующую команду: To start a tracing session, open a Command Prompt window, and run the following command:

После запуска этой команды Debug _ BIND гарантирует, что ETW записывает сообщения трассировки в. \ LDAP. ETL. After this command starts, DEBUG_BIND makes sure that ETW writes tracing messages to .\ldap.etl.

Запустите App1.exe и воспроизведите непредвиденную ошибку. Start App1.exe, and reproduce the unexpected error.

Чтобы прерывать сеанс трассировки, выполните в командной строке следующую команду: To stop the tracing session, run the following command at the command prompt:

Чтобы другие пользователи не могли выполнить трассировку приложения, удалите запись реестра CurrentControlSet Services для ** _ локальной _ машины**в разделе » \ System \ CurrentControlSet \ Services \ ldap \ Трассировка LDAP» \ App1.exe «. To prevent other users from tracing the application, delete the HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ldap\Tracing\App1.exe registry entry.

Чтобы проверить сведения в журнале трассировки, выполните в командной строке следующую команду: To review the information in the trace log, run the following command at the command prompt: