Unterstützte Versionen für diese Funktion: Frontline Standard; Business Plus; Enterprise Standard und Enterprise Plus; Education Fundamentals, Education Standard, Teaching and Learning Upgrade und Education Plus; Enterprise Essentials Plus. G Suite-Versionen vergleichen
Bevor Sie versuchen, Ihren LDAP-Client mit Secure LDAP zu verbinden, können Sie mit einfachen Tools wie ldapsearch, ADSI oder ldp.exe die Konnektivität testen. Diese Tools lassen sich auch zur Behebung von Fehlern einsetzen, die ggf. beim Verbinden Ihres LDAP-Clients mit dem Dienst auftreten.
Mit den Tests, die in den nächsten Abschnitten beschrieben sind, finden Sie heraus, ob auf Ihrer Seite ein Konfigurationsproblem vorliegt. Zusätzlich erhalten Sie Informationen zu häufigen Fehlermeldungen und Tipps zur Problembehebung.
Dieser Artikel enthält die folgenden Abschnitte:
- Konnektivität prüfen und eine LDAP-Abfrage ausführen
Mit der LDAP-Abfrage testen Sie, ob eine Verbindung zu Secure LDAP möglich ist und ob Sie Abfragen ausführen können.
- Grundlegenden Konnektivitätstest durchführen (bei Bedarf)
Kann keine LDAP-Abfrage ausgeführt werden, prüfen Sie mit grundlegenden Tests den Netzwerkzugriff und die Authentifizierung.
Hinweis: Wenn Sie während dieses Vorgangs Kontakt mit dem Google Workspace-Support oder mit dem Support für die Cloud Identity Premiumversion aufnehmen müssen, speichern Sie bitte unbedingt die Antwortausgabe der Befehle. Denken Sie daran, alle personenidentifizierbaren Informationen aus der Ausgabe zu entfernen, bevor Sie sie an das Supportteam weitergeben.
Konnektivität prüfen und eine LDAP-Abfrage ausführen
Nachdem Sie Secure LDAP in der Google Admin-Konsole eingerichtet haben, können Sie mit drei einfachen Tools die Verbindung zu diesem Dienst prüfen: ldapsearch, ADSI und ldp.exe. Weitere Informationen und Anleitungen finden Sie in den nächsten Abschnitten.
ldapsearchFühren Sie mithilfe des Dienstprogramms ldapsearch über eine Befehlszeile eine einfache LDAP-Abfrage aus. Ist sie erfolgreich und liefert ein Ergebnis, wissen Sie, dass der LDAP-Client und die zugrunde liegenden TLS-Sitzungen und TCP-Verbindungen wie vorgesehen funktionieren.
So testen Sie die Konnektivität mit ldapsearch:
- Erstellen Sie eine LDAP-Konfiguration und laden Sie das Zertifikat herunter. Folgen Sie dazu der Anleitung unter Schritt 1: LDAP-Clients hinzufügen.
Hinweis: Sorgen Sie zur Vereinfachung der Testumgebung dafür, dass die Organisationseinheit, für die Sie den Zugriff durch den LDAP-Client erlauben, mindestens einen Nutzer enthält.
- Führen Sie eine LDAP-Abfrage aus.
Der folgende Befehl zeigt beispielhaft, wie Sie mit dem Befehlszeilentool ldapsearch einen bestimmten Nutzer abfragen (weitere Informationen finden Sie auf der Website OpenLDAP ldapsearch):
LDAPTLS_CERT={crt_file} LDAPTLS_KEY={key_file} ldapsearch -H ldaps://ldap.google.com:636 -b dc={domain},dc={domain} '(mail={user_email})'Ersetzen Sie die Platzhalter durch Folgendes:
{crt_file}: Name der CRT-Datei
{key_file}: Dateiname der Schlüsseldatei
{domain}: die einzelnen Teile des Domainnamens; bei „beispiel.de“ also „dc=beispiel,dc=de“
{user_email}: primäre E-Mail-Adresse eines Nutzers in der Domain
ldapsearch zusammen mit Stunnel verwenden
Verwenden Sie die folgenden Befehle, falls Ihre Bereitstellung Stunnel erfordert:
ldapsearch -H ldap://{stunnel_host}:{stunnel_port} -b
dc={domain},dc={domain} '(mail={user_email})'
Ersetzen Sie die Stunnel-spezifischen Platzhalter durch Folgendes:
{stunnel_host}: IP-Adresse oder Hostname der Maschine, auf der Stunnel in Ihrem Netzwerk ausgeführt wird
{stunnel_port}: Port, an dem Stunnel ausgeführt wird, prüfen Sie Ihre Stunnel-Konfiguration
Szenario: Abfrage mit ldapsearch erfolgreich
Wird der Befehl ldapsearch erfolgreich ausgeführt, enthält die Antwort den beim Erstellen des LDAP-Clients angegebenen Nutzernamen mit der E-Mail-Adresse im LDIF-Format.
Beispiel:
# extended LDIF
#
# LDAPv3
# base <dc=example,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#
# example.com
dn: dc=example,dc=com
objectClass: top
objectClass: domain
objectClass: dcObject
dc: example
# admin-group, Groups, example.com
dn: cn=admin-group,ou=Groups,dc=example,dc=com
objectClass: top
objectClass: groupOfNames
objectClass: posixGroup
cn: admin-group
displayName: admin-group
description:
gidNumber: 12345
member: uid=admin,ou=Users,dc=example,dc=com
memberUid: admin
googleAdminCreated: FALSE
# example-user, Users, example.com
dn: uid=example-user,ou=Users,dc=example,dc=com
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: posixAccount
uid: example-user
googleUid: example-user
posixUid: example-user
cn: example-user
cn: FirstName LastName
sn: FirstName
displayName: FirstName LastName
givenName: FirstName
mail: example-user@example.com
uidNumber: 12345
gidNumber: 12345
homeDirectory: /home/example-user
loginShell: /bin/bash
gecos:
Mögliche Fehler
- Der OpenLDAP-Client und/oder die ‑Bibliothek wurden ohne SNI-Unterstützung kompiliert
SNI (Server Name Indication) muss vom LDAP-Client, in diesem Fall OpenLDAP, unterstützt werden. Ist SNI nicht verfügbar, wird möglicherweise ein ähnlicher Fehler wie dieser angezeigt:
SASL/EXTERNAL authentication started
ldap_sasl_interactive_bind_s: Unknown authentication method (-6)
additional info: SASL(-4): no mechanism available:
Empfehlung:- Wenn Sie MacOS verwenden, ist SASL standardmäßig aktiviert und kann mit der Option „-x“ umgangen werden.
- Ergänzen Sie den Befehl ldapsearch um die Option
-d5und suchen Sie in der Ausgabe nach der folgenden Zeile:
TLS certificate verification: depth: 0, err: 18, subject: /OU=No SNI provided; please fix your client.
-
ldapsearch gibt Status 0 zurück (Erfolg), aber es werden keine Nutzer ausgegeben
Wenn Sie bei Clientzertifikaten für ldapsearch die Option-x(SASL-Authentifizierung verwenden) nutzen, wird die Authentifizierung ausgeführt, aber es werden keine Domainnutzer aufgelistet.
Empfehlung: Entfernen Sie die Option-xund versuchen Sie es noch einmal.
- Führen Sie die Schritte 1–11 des Abschnitts ldp.exe (Windows) aus, um die Clientzertifikate zu installieren.
- Gehen Sie zu Action > Connect to… (Aktion > Verbinden mit…).
- Geben Sie die folgenden Verbindungseinstellungen ein:
Name: Geben Sie einen Namen für Ihre Verbindung ein, z. B. Google LDAP.
Connection Point (Verbindungspunkt): Gehen Sie zum Abschnitt „Select or type a Distinguished Name or Naming Context“ (Distinguished Name oder Namenskontext auswählen oder eingeben).
Geben Sie Ihren Domainnamen im DN-Format ein, z. B. dc=beispiel,dc=de für beispiel.de.
Computer: Gehen Sie zum Abschnitt „Select or type a domain or server“ (Domain oder Server auswählen oder eingeben).
ldap.google.com
Use SSL-based Encryption (SSL-basierte Verschlüsselung verwenden): aktiviert
- Klicken Sie auf Advanced… (Erweitert…) und geben Sie die folgenden Details ein:
Specify credentials (Anmeldedaten angeben): aktiviert
Username (Nutzername): Nutzername aus der Admin-Konsole
Password (Passwort): Passwort aus der Admin-Konsole
Port Number (Portnummer): 636
Protocol (Protokoll): LDAP
Simple bind authentication (Einfache Bind-Authentifizierung): aktiviert
- Klicken Sie auf OK und dann noch einmal auf OK.
- Wenn die Verbindung erfolgreich war, werden im rechten Fensterbereich die Inhalte des Verzeichnisses im Basis-DN angezeigt.
- Installieren Sie OpenSSL.
- Konvertieren Sie die Zertifikats- und Schlüsseldateien in eine Datei im PKCS12-Format. Bei der Eingabeaufforderung geben Sie dazu Folgendes ein:
openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
Geben Sie ein Passwort ein, um die Ausgabedatei zu verschlüsseln.
- Gehen Sie zum Steuerfeld.
- Geben Sie in das Suchfeld den Begriff „certificate“ (Zertifikat) ein und klicken Sie auf Manage user certificates (Nutzerzertifikate verwalten).
- Gehen Sie zu Action > All Tasks > Import… (Aktion > Alle Aufgaben > Importieren…).
- Wählen Sie Current User (Aktueller Nutzer) aus und klicken Sie auf Next (Weiter).
- Klicken Sie auf Browse… (Durchsuchen…).
- Wählen Sie rechts unten im Dialogfeld über die Drop-down-Liste file type (Dateityp) die Option Personal Information Exchange (*.pfx;*.p12) (Austausch personenbezogener Daten (*.pfx;*.p12)) aus.
- Wählen Sie die in Schritt 2 erstellte Datei ldap-client.p12 aus. Klicken Sie auf Open (Öffnen) und dann auf Next (Weiter).
- Geben Sie das Passwort aus Schritt 2 ein und klicken Sie auf Next (Weiter).
- Wählen Sie für „certificate store“ (Zertifikatsspeicher) den Typ Personal (Privat) aus, klicken Sie auf Next (Weiter) und dann auf Finish (Beenden).
- Führen Sie Ldp.exe aus.
- Gehen Sie zu Connection > Connect… (Verbindung > Verbinden…).
- Geben Sie die folgenden Verbindungsdetails ein:
Server: ldap.google.com
Port: 636
Connectionless (ohne Verbindung): nicht aktiviert
SSL: aktiviert
- Klicken Sie auf OK.
- Gehen Sie zu View > Tree (Ansicht > Baum).
- Geben Sie den Basis-DN ein. Dies ist Ihr Domainname im DN-Format, z. B. dc=beispiel,dc=de für beispiel.de.
- Klicken Sie auf OK.
- Wenn die Verbindung erfolgreich war, werden im rechten Fensterbereich die Inhalte des Verzeichnisses im Basis-DN angezeigt.
Grundlegenden Konnektivitätstest durchführen (bei Bedarf)
Wenn Sie mit den Schritten im Abschnitt Konnektivität prüfen und eine LDAP-Abfrage ausführen kein positives Ergebnis erzielt haben, führen Sie den in diesem Abschnitt beschriebenen Konnektivitätstest aus. Es kann passieren, dass der gewünschte Nutzer bei der Abfrage mit ldapsearch nicht gefunden wird und nach der Prüfung nicht eindeutig feststeht, ob die zugrunde liegende TLS-Sitzung einwandfrei funktioniert. Verwenden Sie in diesem Fall den OpenSSL-Client, um die korrekte Funktion der für OpenLDAP benötigten Netzwerkebenen zu testen.
So führen Sie einen grundlegenden Konnektivitätstest durch:
- Installieren Sie für Ihr Betriebssystem den OpenSSL-Client.
Für die meisten GNU-/Linux-Distributionen brauchen Sie das Paket „openssl“. Weitere Informationen für andere Betriebssysteme (in englischer Sprache)
-
Stellen Sie mit dem openssl-Client eine manuelle Verbindung zu Secure LDAP her:
openssl s_client -connect ldap.google.com:636
Prüfen Sie, ob die SSL-Verhandlung erfolgreich war. Suchen Sie dazu am Ende der Ausgabe von „openssl s_client“ nach der folgenden Zeile:
Verify return code: 0 (ok)
Mögliche Fehler
Der OpenSSL-Client/die OpenSSL-Bibliothek unterstützt SNI (Server Name Indication) nicht
Während des Konnektivitätstests kann es zu folgenden Ausgaben kommen:
Verify return code: 18 (self signed certificate)
Secure LDAP erfordert einen TLS-Client, der SNI unterstützt und damit eine TLS-Sitzung initiiert. Wenn der TLS-Client SNI nicht unterstützt, gibt der TLS-Server (ldap.google.com) ein selbstsigniertes Zertifikat zurück, das keine Zertifizierungsstellen-Validierungsprüfungen besteht. So wird angegeben, dass SNI erforderlich ist.
Dieses Verhalten können Sie prüfen, indem Sie am Anfang der Ausgabe des OpenSSL-Clients nach der folgenden Zeile suchen:
depth=0 OU = "No SNI provided; please fix your client.", CN = invalid2.invalid
Denkbare Ursachen für diesen Fehler sind eine OpenSSL-Version, die SNI nicht unterstützt, oder eine Anwendung, die die OpenSSL-Bibliothek verwendet und für die SNI explizit deaktiviert ist.
Verbindung verweigert
Wenn die folgende Ausgabe zurückgegeben wird (wobei {timestamp} ein UNIX-Zeitstempel in Mikrosekunden ist), wird die TCP-Verbindung aktiv abgelehnt, bevor die TLS-Verhandlung beginnen kann:
{timestamp}:error:0200206F:system library:connect:Connection refused:crypto/bio/b_sock2.c:110:
{timestamp}:error:2008A067:BIO routines:BIO_connect:connect error:crypto/bio/b_sock2.c:111:connect:errno=111
Das kann folgende Ursachen haben:
- Firewall auf Anwendungs- oder Systemebene auf dem lokalen Computer
- Firewall im selben physischen Netzwerk oder in einem Upstream-Netzwerk
Zur Untersuchung dieses Fehlers können Sie mit tcptraceroute bestimmen, welcher Host die Verbindung ablehnt, z. B. mit tcptraceroute ldap.google.com 636.
