الإصدارات المتوافقة مع هذه الميزة: Frontline Standard؛ Business Plus؛ Enterprise Standard وEnterprise Plus؛ Education Fundamentals وEducation Standard وTeaching and Learning Upgrade وEducation Plus؛ Enterprise Essentials Plus. مقارنة إصدارك
قبل محاولة إنشاء اتصال بين برنامج LDAP وخدمة LDAP الآمن، يمكنك اختيار إجراء اختبار سريع لإمكانية الاتصال باستخدام أدوات بسيطة، مثل ldapsearch أو ADSI أو ldp.exe. ويمكن استخدام هذه الأدوات أيضًا لتحديد المشاكل وحلّها في حال مواجهة أخطاء أثناء محاولة إنشاء اتصال بين برنامج LDAP والخدمة.
تتيح لك الاختبارات الواردة في الأقسام أدناه معرفة ما إذا كان هناك مشكلة متعلقة بالإعداد من جانبك والتعرُّف على رسائل الخطأ الشائعة وعلى اقتراحات لكيفية إصلاح هذه المشاكل.
تضمُّ هذه المقالة الأقسام التالية:
- التحقّق من إمكانية الاتصال وتنفيذ طلب بحث LDAP
يتيح لك تفعيل طلب بحث LDAP التأكُّد من إمكانية اتصالك بخدمة LDAP الآمن وتنفيذ طلبات البحث.
- إذا لزم الأمر، يمكنك إجراء اختبار إمكانية الاتصال الأساسي
في حال تعذَّر تنفيذ طلب بحث LDAP، يمكنك إجراء اختبار إمكانية الاتصال الأساسي لاختبار الوصول إلى الشبكة والمصادقة.
ملاحظة: إذا كنت بحاجة إلى التواصل مع فريق دعم Google Workspace أو فريق دعم "النسخة المميّزة من Cloud Identity" أثناء هذه العملية، احرِص على حفظ ناتج الأوامر. تأكَّد من إزالة معلومات تحديد الهوية الشخصية من الناتج قبل مشاركته مع فريق الدعم.
التحقُّق من الربط وتنفيذ طلب بحث LDAP
بعد إعداد خدمة LDAP الآمن على "وحدة تحكُّم المشرف في Google"، يمكنك استخدام أداة من هذه الأدوات الثلاث البسيطة للتحقُّق من إمكانية الاتصال بخدمة LDAP الآمن: ldapsearch أو ADSI أو ldp.exe. لمعرفة التفاصيل والتعليمات، يُرجى الاطِّلاع على الأقسام الواردة أدناه.
ldapsearchيمكنك استخدام الأداة ldapsearch من سطر الأوامر لإجراء طلب بحث LDAP أساسي. حيث تشير نتيجة طلب بحث LDAP الناجحة إلى أن برنامج LDAP وجلسة طبقة النقل الآمنة (TLS) الأساسية وربط بروتوكول TCP يعملان على النحو المطلوب.
لاختبار إمكانية الاتصال باستخدام أداة ldapsearch:
- أنشِئ إعداد LDAP، ونزِّل الشهادة، باتِّباع التعليمات الواردة في 1- إضافة برامج LDAP.
ملاحظة: لتسهيل بيئة الاختبار، يُرجى التأكُّد من توفُّر مستخدم واحد على الأقل في الوحدة التنظيمية التي تسمح لها بالوصول إلى برنامج LDAP.
- نفِّذ طلب بحث LDAP.
يوضِّح الأمر التالي كيفية استخدام أداة سطر الأمر ldapsearch لطلب مستخدم مُعيَّن (للتعرُّف على المزيد من المعلومات، يُرجى الاطِّلاع على OpenLDAP lapsearch):
LDAPTLS_CERT={crt_file} LDAPTLS_KEY={key_file} ldapsearch -H ldaps://ldap.google.com:636 -b dc={domain},dc={domain} '(mail={user_email})'استبدِل العناصر النائبة التالية:
{crt_file} : اسم ملف .crt
{key_file} : اسم ملف المفتاح.
{domain} : كل جزء من اسم النطاق، مثل example.com سيصبح "dc=example,dc=com"
{user_email} : عنوان البريد الإلكتروني الرئيسي لمستخدم في النطاق.
استخدام أداة ldapsearch مع stunnel
في حال تطلَّبت عملية النشر استخدام stunnel، يمكنك استخدام الأوامر التالية:
ldapsearch -H ldap://{stunnel_host}:{stunnel_port} -b
dc={domain},dc={domain} '(mail={user_email})'
استبدِل عناصر stunnel النائبة المُحدَّدة:
{stunnel_host} : عنوان IP أو اسم مضيف الجهاز الذي يشغِّل stunnel على شبكتك.
{stunnel_port} : المنفذ الذي يتم تشغيل stunnel عليه. يُرجى مراجعة إعداد stunnel.
السيناريو الناجح للأمر ldapsearch
سيؤدي ناتج الأمر ldapsearch الناجح إلى إدراج المستخدم في هذا البريد الإلكتروني (كما هو مُحدَّد عند إنشاء برنامج LDAP) بتنسيق LDIF.
مثل:
# extended LDIF
#
# LDAPv3
# base <dc=example,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#
# example.com
dn: dc=example,dc=com
objectClass: top
objectClass: domain
objectClass: dcObject
dc: example
# admin-group, Groups, example.com
dn: cn=admin-group,ou=Groups,dc=example,dc=com
objectClass: top
objectClass: groupOfNames
objectClass: posixGroup
cn: admin-group
displayName: admin-group
description:
gidNumber: 12345
member: uid=admin,ou=Users,dc=example,dc=com
memberUid: admin
googleAdminCreated: FALSE
# example-user, Users, example.com
dn: uid=example-user,ou=Users,dc=example,dc=com
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: posixAccount
uid: example-user
googleUid: example-user
posixUid: example-user
cn: example-user
cn: FirstName LastName
sn: FirstName
displayName: FirstName LastName
givenName: FirstName
mail: example-user@example.com
uidNumber: 12345
gidNumber: 12345
homeDirectory: /home/example-user
loginShell: /bin/bash
gecos:
الأخطاء المحتملة
- يتم تجميع برنامج و/أو مكتبة OpenLDAP بدون توفُّر إشارة اسم الخادم (SNI)
يجب أن يوفِّر برنامج LDAP (OpenLDAP في هذه الحالة) إشارة SNI. في حال عدم توفٌّر إشارة SNI، قد يظهر لك خطأ مماثل لما يلي:
SASL/EXTERNAL authentication started
ldap_sasl_interactive_bind_s: Unknown authentication method (-6)
additional info: SASL(-4): no mechanism available:
الاقتراح:- في حال كنت تستخدم نظام التشغيل MacOS، سيتم تفعيل مصادقة SASL تلقائيًا ويمكن تجاوزها باستخدام الخيار "-x".
- أضِف الخيار
-d5إلى أداة ldapsearch وراجِع نتاج السطر التالي:
TLS certificate verification: depth: 0, err: 18, subject: /OU=No SNI provided; please fix your client.
-
تعرض أداة ldapsearch الحالة 0 (نجاح) بدون توفُّر مستخدمين في الناتج
يؤدي تحديد خيار-xلأداة ldapsearch (استخدم مصادقة SASL) مع شهادات العميل إلى نجاح المصادقة، ولكن لن يتم سرد المستخدمين في النطاق.
اقتراح: يمكنك إزالة الخيار-xوإعادة المحاولة.
- اتَّبع الخطوات من 1 إلى 11 في ldp.exe (نظام التشغيل Windows) لتثبيت شهادات العميل.
- انتقل إلى Action (الإجراء) > Connect to… (ربط بـ…)
- أدخِل إعدادات الربط التالية:
Name (الاسم): اكتب اسمًا لعملية الربط، مثل Google LDAP.
Connection Point (نقطة الربط): "اختَر "اسمًا مميَّزًا" أو "سياق تسمية" أو اكتبه"
أدخِل اسم النطاق بتنسيق الاسم المميَّز (مثل، dc=example,dc=com للنطاق example.com).
Computer (جهاز الكمبيوتر): “اختَر نطاقًا أو خادمًا أو اكتبه”
ldap.google.com
Use SSL-based Encryption (استخدام التشفير المُستّنِد إلى طبقة المقابس الآمنة): تم وضع علامة عليه
- انقر على Advanced… (إعدادات متقدمة…) وأدخِل التفاصيل التالية:
Specify credentials (تحديد بيانات الاعتماد): تم وضع علامة عليها
Username (اسم المستخدم): اسم مستخدم بيانات اعتماد الوصول من "وحدة تحكُّم المشرف"
Password (كلمة المرور): كلمة مرور بيانات اعتماد الوصول من "وحدة تحكُّم المشرف"
Port Number (رقم المنفذ): 636
Protocol (البروتوكول): LDAP
Simple bind authentication (مصادقة الربط البسيط): تم وضع علامة عليها
- انقر على OK (موافق)، ثم انقر على OK (موافق) مرة أخرى.
- في حال كان الربط ناجحًا، يتم عرض محتوى الدليل في الاسم المميَّز الأساسي في الجزء الأيسر.
- ثبِّت OpenSSL.
- حوِّل ملفات المفتاح والشهادة إلى ملف واحد بتنسيق PKCS12. في موجِّه الأوامر، أدخِل التالي:
openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
أدخِل كلمة مرور لتشفير ملف الناتج.
- انتقِل إلى لوحة التحكُّم.
- في مربّع البحث، ابحَث عن "الشهادة"، ثم انقر على إدارة شهادات المستخدم.
- انتقل إلى الإجراءات > جميع المهام > استيراد…
- اختَر مستخدمًا حاليًا، وانقر على التالي.
- انقر على تصفَّح…
- ضمن القائمة المنسدلة file type (نوع الملف) في الجانب السفلي الأيسر من مربّع الحوار، اختَر Personal Information Exchange (*.pfx;*.p12) (تبادل المعلومات الشخصية (*.pfx;*.p12)).
- اختَر الملف ldap-client.p12 من الخطوة 2، وانقر على فتح، ثم انقر على التالي.
- أدخِل كلمة المرور من الخطوة 2 وانقر على التالي.
- اختَر مخزن الشهادات الشخصية، وانقر على التالي، ثم انقر على إنهاء.
- شغَّل Ldp.exe.
- انتقِل إلى Connection (الربط) > Connect… (ربط…)
- أدخِل تفاصيل الربط التالية:
Server (الخادم): ldap.google.com
Port (المنفذ): 636
Connectionless (بدون ربط): تم حذف العلامة منها
SSL (طبقة المقابس الآمنة): تم وضع علامة عليها
- انقر على OK (حسنًا).
- انتقِل إلى View (عرض )> Tree (شجرة).
- أدخِل الاسم المميّز الأساسي، وهو اسم نطاقك بتنسيق الاسم المميَّز. (مثلاً، dc=example,dc=com للنطاق example.com).
- انقر على OK (موافق).
- في حال كان الربط ناجحًا، يتم عرض محتوى الدليل في الاسم المميَّز الأساسي في الجزء الأيسر.
يمكنك إجراء اختبار إمكانية الاتصال الأساسي، إذا لزم الأمر
في حال تعذُّر الحصول على نتيجة ناجحة في قسم التحقُّق من إمكانية الاتصال وتنفيذ طلب بحث LDAP، يُرجى اتِّباع التعليمات في هذا القسم لاختبار إمكانية الاتصال. في حال لم تنجح أداة ldapsearch في عرض المستخدم المُتوقَّع ولم تقدِّم مؤشرًا واضحًا على نجاح جلسة طبقة النقل الآمنة (TLS) الأساسية، يمكنك استخدام برنامج OpenSSL للتحقُّق من أن طبقات الشبكة التي يعتمد عليها OpenLDAP تعمل على النحو المُتوقَّع.
لإجراء اختبار إمكانية اتصال أساسي:
- ثبِّت أداة البرنامج openssl لنظام التشغيل.
تستخدم معظم توزيعات GNU/Linux اسم الحزمة "openssl". يمكنك الاطِّلاع على تفاصيل عن أنظمة التشغيل الأخرى.
-
أنشئ اتصالاً بخدمة LDAP الآمن يدويًا باستخدام برنامج openssl:
openssl s_client -connect ldap.google.com:636
يمكنك التأكُّد من نجاح تفاوض طبقة المقابس الآمنة (SSL) من خلال توفُّر السطر التالي في نهاية ناتج openssl s_client:
Verify return code: 0 (ok)
الأخطاء المحتملة
لا يوفِّر برنامج/مكتبة OpenSSL إشارة SNI
أثناء اختبار إمكانية الاتصال، قد يظهر الناتج التالي:
Verify return code: 18 (self signed certificate)
تتطلَّب خدمة LDAP الآمن برنامج TLS يوفِّر جلسة TLS ويبدأها باستخدام إشارة SNI. في حال كان برنامج TLS لا يوفِّر SNI، سيعرض خادم TLS (ldap.google.com) شهادة مُوقَّعة ذاتيًا لن تجتاز عمليات التحقُّق من CA، مما يدل على أن إشارة SNI مطلوبة.
يمكن التأكُّد من هذا السلوك من خلال التحقّق من ناتج برنامج OpenSSL للسطر التالي بالقرب من بداية الناتج:
depth=0 OU = "No SNI provided; please fix your client.", CN = invalid2.invalid
قد تتضمن أسباب هذا الخطأ عدم توفير إصدار OpenSSL لإشارة SNI أو تطبيق يستخدم مكتبة OpenSSL مع إيقاف إشارة SNI بشكل صريح.
تمّ رفض الاتصال
في حال ظهور الناتج التالي، حيث يكون {timestamp} عبارة عن طابع زمني لنظام التشغيل UNIX بالميكروثانية، يتم رفض اتصال بروتوكول TCP قبل بدء تفاوض TLS:
{timestamp}:error:0200206F:system library:connect:Connection refused:crypto/bio/b_sock2.c:110:
{timestamp}:error:2008A067:BIO routines:BIO_connect:connect error:crypto/bio/b_sock2.c:111:connect:errno=111
قد يرجع ذلك إلى الأسباب التالية:
- جدار ناري على مستوى النظام أو على مستوى التطبيق في الجهاز المحلي
- جدار ناري في الشبكة الفعلية نفسها أو الشبكة الرئيسية
لإجراء تحقيق، يمكنك استخدام tcptraceroute لتحديد المضيف الذي يرفض الربط - مثلاً، tcptraceroute ldap.google.com 636.
