Tests de connectivité au service LDAP sécurisé

Éditions compatibles avec cette fonctionnalité: Frontline Standard; Business Plus; Enterprise Standard et Enterprise Plus; Education Fundamentals, Education Standard, Teaching and Learning Upgrade et Education Plus; Enterprise Essentials Plus. Comparer votre édition

Avant de tenter de connecter votre client LDAP au service LDAP sécurisé, nous vous conseillons d'effectuer un rapide test de connectivité à l'aide d'outils simples, tels que ldapsearch, ADSI ou ldp.exe. Ces outils peuvent également être utilisés à des fins de dépannage si vous rencontrez des erreurs lors de la tentative de connexion de votre client LDAP au service sécurisé.

Les tests décrits dans les sections ci-dessous vous permettent de déterminer si votre configuration présente un problème, de comprendre les messages d'erreur courants et d'obtenir des recommandations sur la façon dont ces problèmes peuvent être résolus.

Cet article contient les sections suivantes :

Remarque : Si vous devez contacter l'assistance Google Workspace ou l'assistance Cloud Identity Premium au cours de cette procédure, pensez à enregistrer les résultats des commandes. Veillez à supprimer les informations permettant d'identifier personnellement l'utilisateur de ces résultats avant de les partager avec l'équipe d'assistance.

Vérifier la connectivité et exécuter une requête LDAP

Une fois que vous avez configuré le service LDAP sécurisé dans la console d'administration Google, vous pouvez vérifier la connectivité au service LDAP sécurisé à l'aide de l'un des trois outils suivants : ldapsearch, ADSI ou ldp.exe. Pour obtenir des informations détaillées et des instructions, consultez les sections ci-dessous.

ldapsearch

L'outil ldapsearch vous permet de créer une requête LDAP de base à partir d'une ligne de commande. Si cette requête LDAP s'exécute avec succès, cela indique que le client LDAP, la session TLS sous-jacente et la connexion TCP fonctionnent comme prévu.

Pour tester la connectivité avec ldapsearch :

  1. Créez une configuration LDAP et téléchargez le certificat en suivant les instructions décrites dans la section 1. Ajouter des clients LDAP.

    Remarque : Pour simplifier l'environnement de test, vérifiez que l'unité organisationnelle pour laquelle vous autorisez l'accès au client LDAP comporte au moins un utilisateur.
     
  2. Exécutez une requête LDAP.

    La commande suivante montre comment interroger un utilisateur à l'aide de l'outil de ligne de commande ldapsearch. Pour en savoir plus, consultez OpenLDAP lapsearch : 
     

    LDAPTLS_CERT={crt_file} LDAPTLS_KEY={key_file} ldapsearch -H ldaps://ldap.google.com:636 -b dc={domain},dc={domain} '(mail={user_email})'

    Remplacez les espaces réservés suivants :

    {crt_file} : nom du fichier .crt
    {key_file} : nom de fichier du fichier .key
    {domain} : chaque partie du nom de domaine (par exemple, example.com devient "dc=example,dc=com")
    {user_email} : adresse e-mail principale d'un utilisateur du domaine

Utiliser ldapsearch avec stunnel

Si votre déploiement nécessite l'utilisation de stunnel, utilisez les commandes suivantes :

ldapsearch -H ldap://{stunnel_host}:{stunnel_port} -b
dc={domain},dc={domain} '(mail={user_email})'

Remplacez les espaces réservés spécifiques à stunnel :
{stunnel_host} : adresse IP ou nom d'hôte de l'ordinateur exécutant stunnel dans votre réseau
{stunnel_port} : port sur lequel stunnel est exécuté. Vérifiez la configuration de stunnel.

Commande ldapsearch exécutée avec succès

Si le résultat de la commande ldapsearch est positif, le nom d'utilisateur et l'adresse e-mail utilisée lors de la création du client LDAP s'affichent au format LDIF.

Exemple :

# extended LDIF
#
# LDAPv3
# base <dc=example,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# example.com
dn: dc=example,dc=com
objectClass: top
objectClass: domain
objectClass: dcObject
dc: example

# admin-group, Groups, example.com
dn: cn=admin-group,ou=Groups,dc=example,dc=com
objectClass: top
objectClass: groupOfNames
objectClass: posixGroup
cn: admin-group
displayName: admin-group
description:
gidNumber: 12345
member: uid=admin,ou=Users,dc=example,dc=com
memberUid: admin
googleAdminCreated: FALSE


# example-user, Users, example.com
dn: uid=example-user,ou=Users,dc=example,dc=com
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: posixAccount
uid: example-user
googleUid: example-user
posixUid: example-user
cn: example-user
cn: FirstName LastName
sn: FirstName
displayName: FirstName LastName
givenName: FirstName
mail: example-user@example.com
uidNumber: 12345
gidNumber: 12345
homeDirectory: /home/example-user
loginShell: /bin/bash
gecos:

Erreurs possibles

  • Le client et/ou la bibliothèque OpenLDAP sont compilés sans être compatibles avec l'extension SNI

    Le client LDAP (OpenLDAP, dans ce cas) doit être compatible avec l'extension SNI (Server Name Indication). Dans le cas contraire, une erreur de ce type peut s'afficher :

    SASL/EXTERNAL authentication started

    ldap_sasl_interactive_bind_s: Unknown authentication method (-6)
     additional info: SASL(-4): no mechanism available:

    Recommendation :
    • Si vous utilisez macOS, SASL est activé par défaut et peut être contourné via l'option "-x".
    • Ajoutez l'option -d5 à ldapsearch et vérifiez le résultat de la ligne suivante :

      TLS certificate verification: depth: 0, err: 18, subject: /OU=No SNI provided; please fix your client.
       
  • ldapsearch renvoie l'état 0 (requête exécutée avec succès), mais ne répertorie aucun utilisateur

    La spécification de l'option ldapsearch -x (Utiliser l'authentification SASL) avec les certificats client permet d'authentifier les utilisateurs du domaine, mais ne les répertorie pas.

    Recommandation : Supprimez l'option -x et réessayez.

ADSI Edit (Windows)
  1. Suivez les étapes 1 à 11 de la section ldp.exe (Windows) pour installer les certificats client.
  2. Accédez à Action > Connect to (Action > Se connecter à).
  3. Saisissez les paramètres de connexion suivants :

    Name (Nom) : saisissez un nom pour votre connexion, par exemple Google LDAP.
    Connection Point (Point de connexion) : sélectionnez ou saisissez un nom distinctif ou un contexte d'attribution de noms.
    Saisissez votre nom de domaine au format DN, par exemple dc=example,dc=com pour example.com.

    Computer (Ordinateur) : sélectionnez ou saisissez un nom de domaine ou un serveur.
    ldap.google.com

    Use SSL-based Encryption (Utiliser le chiffrement SSL) : cochez cette option
     
  4. Cliquez sur Advanced… (Paramètres avancés) et saisissez les informations suivantes :

    Specify credentials (Indiquer les identifiants) : cochez cette option
    Username(Nom d'utilisateur) : nom d'utilisateur utilisé pour accéder à la console d'administration
    Password (Mot de passe) : mot de passe utilisé pour accéder à la console d'administration
    Port Number (Numéro de port) : 636
    Protocol (Protocole) : LDAP
    Simple bind authentication (Authentification par association simple) : cochez cette option
     
  5. Cliquez sur OK, puis de nouveau sur OK.
  6. Si la connexion aboutit, le contenu de l'annuaire s'affiche dans le volet de droite dans le format DN de base.
ldp.exe (Windows)
  1. Installez OpenSSL.
  2. Convertissez les fichiers de clé et de certificat en un fichier au format PKCS12. Lorsque l'invite de commande apparaît, saisissez les commandes suivantes :

    openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12

    Saisissez votre mot de passe pour chiffrer le fichier de sortie.
     
  3. Accédez au panneau de configuration.
  4. Dans le champ de recherche, saisissez "certificate", puis cliquez sur Manage user certificates (Gérer les certificats utilisateur).
  5. Accédez à Action > All Tasks > Import… (Action > Toutes les tâches > Importer).
  6. Sélectionnez Current User (Utilisateur actuel), puis cliquez sur Next (Suivant).
  7. Cliquez sur Browse (Parcourir).
  8. Dans la liste déroulante File type (Type de fichier) en bas à droite de la boîte de dialogue, sélectionnez Personal Information Exchange (*.pfx;*.p12) (Échange d'informations personnelles [*.pfx;*.p12]).
  9. Sélectionnez le fichier ldap-client.p12 créé à l'étape 2, cliquez sur Open (Ouvrir), puis sur Next (Suivant).
  10. Saisissez le mot de passe de l'étape 2, puis cliquez sur Next (Suivant).
  11. Sélectionnez le magasin de certificats Personal (Personnel), cliquez sur Next (Suivant), puis sur Finish (Terminer).
  12. Exécutez Ldp.exe.
  13. Accédez à Connection > Connect (Connexion > Se connecter).
  14. Saisissez les informations de connexion suivantes :

    Server (Serveur) : ldap.google.com
    Port : 636
    Connectionless (Sans connexion) : décochez cette option
    SSL : décochez cette option
     
  15. Cliquez sur OK.
  16. Accédez à View > Tree (Affichage > Arborescence).
  17. Saisissez le nom de domaine de base. Il s'agit de votre nom de domaine au format DN, par exemple dc=example,dc=com pour example.com.
  18. Cliquez sur OK.
  19. Si la connexion aboutit, le contenu de l'annuaire s'affiche dans le volet de droite dans le format DN de base.

Effectuer un test de connectivité de base (si nécessaire)

Si vous ne parvenez pas à obtenir un résultat positif à l'étape Vérifier la connectivité et exécuter une requête LDAP, suivez les instructions présentées ici concernant le test de connectivité. Si ldapsearch ne permet pas de renvoyer le bon utilisateur et n'indique pas clairement que la session TLS sous-jacente a été initiée avec succès, vous pouvez vérifier que les calques réseau sur lesquels repose OpenLDAP fonctionnent bien comme prévu à l'aide du client OpenSSL.

Pour effectuer un test de connectivité de base :

  1. Installez l'utilitaire client OpenSSL compatible avec votre système d'exploitation.

    La plupart des distributions GNU/Linux utilisent le nom de paquet "openssl". En savoir plus sur les autres systèmes d'exploitation
     
  2.  Connectez-vous manuellement au service LDAP sécurisé à l'aide du client OpenSSL :

    openssl s_client -connect ldap.google.com:636

    Confirmez que la négociation SSL a réussi en vérifiant la présence de la ligne suivante à la fin du résultat OpenSSL s_client :

    Verify return code: 0 (ok)

Erreurs possibles

Le client ou la bibliothèque OpenSSL n'est pas compatible avec l'extension SNI (Server Name Indication)

Pendant le test de connectivité, le résultat suivant peut apparaître :

Verify return code: 18 (self signed certificate)

Le service LDAP sécurisé nécessite un client TLS qui accepte et initie une session TLS à l'aide de l'extension SNI (Server Name Indication). Si le client TLS n'accepte pas l'extension SNI, le serveur TLS (ldap.google.com) renvoie un certificat autosigné qui ne passe pas les contrôles de validation de l'autorité de certification, afin d'indiquer que l'extension SNI est requise.

Ce comportement peut être confirmé en vérifiant le résultat du client OpenSSL au début de la ligne suivante :

depth=0 OU = "No SNI provided; please fix your client.", CN = invalid2.invalid

Cette erreur peut survenir en raison d'une version OpenSSL n'acceptant pas l'extension SNI ou d'une application utilisant la bibliothèque OpenSSL pour laquelle l'extension SNI est explicitement désactivée.

Connexion refusée

Si le résultat suivant apparaît (dans lequel {timestamp} est un horodatage UNIX exprimé en microsecondes), la connexion TCP est activement refusée avant que la négociation TLS puisse démarrer :

{timestamp}:error:0200206F:system library:connect:Connection refused:crypto/bio/b_sock2.c:110:
{timestamp}:error:2008A067:BIO routines:BIO_connect:connect error:crypto/bio/b_sock2.c:111:connect:errno=111

Ce problème peut être causé par :

  • un pare-feu au niveau de l'application ou du système sur la machine locale ;
  • un pare-feu sur le même réseau physique ou réseau en amont.

Afin d'en savoir plus sur ce problème, déterminez quel hôte refuse la connexion à l'aide d'un test tcptraceroute, par exemple, tcptraceroute ldap.google.com 636.

Articles associés

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?
Recherche
Effacer la recherche
Fermer le champ de recherche
Menu principal
12202065356536263630
true
Rechercher dans le centre d'aide
true
true
true
true
true
73010
false
false