Tests de connectivité au service LDAP sécurisé

Éditions compatibles avec cette fonctionnalité: Frontline Standard; Business Plus; Enterprise Standard et Enterprise Plus; Education Fundamentals, Education Standard, Teaching and Learning Upgrade et Education Plus; Enterprise Essentials Plus. Comparer votre édition

Avant de tenter de connecter votre client LDAP au service LDAP sécurisé, nous vous conseillons d'effectuer un rapide test de connectivité à l'aide d'outils simples, tels que ldapsearch, ADSI ou ldp.exe. Ces outils peuvent également être utilisés à des fins de dépannage si vous rencontrez des erreurs lors de la tentative de connexion de votre client LDAP au service sécurisé.

Les tests décrits dans les sections ci-dessous vous permettent de déterminer si votre configuration présente un problème, de comprendre les messages d'erreur courants et d'obtenir des recommandations sur la façon dont ces problèmes peuvent être résolus.

Cet article contient les sections suivantes :

Vérifier la connectivité et exécuter une requête LDAP
L'exécution d'une requête LDAP vous permet de confirmer que vous pouvez vous connecter au service LDAP sécurisé et effectuer des requêtes.
Effectuer un test de connectivité de base (si nécessaire)
Si l'exécution d'une requête LDAP échoue, effectuez un test de connectivité de base pour vérifier l'accès au réseau et l'authentification.

Remarque : Si vous devez contacter l'assistance Google Workspace ou l'assistance Cloud Identity Premium au cours de cette procédure, pensez à enregistrer les résultats des commandes. Veillez à supprimer les informations permettant d'identifier personnellement l'utilisateur de ces résultats avant de les partager avec l'équipe d'assistance.

Vérifier la connectivité et exécuter une requête LDAP

Une fois que vous avez configuré le service LDAP sécurisé dans la console d'administration Google, vous pouvez vérifier la connectivité au service LDAP sécurisé à l'aide de l'un des trois outils suivants : ldapsearch, ADSI ou ldp.exe. Pour obtenir des informations détaillées et des instructions, consultez les sections ci-dessous.

ldapsearch

L'outil ldapsearch vous permet de créer une requête LDAP de base à partir d'une ligne de commande. Si cette requête LDAP s'exécute avec succès, cela indique que le client LDAP, la session TLS sous-jacente et la connexion TCP fonctionnent comme prévu.

Pour tester la connectivité avec ldapsearch :

Créez une configuration LDAP et téléchargez le certificat en suivant les instructions décrites dans la section 1. Ajouter des clients LDAP.

Remarque : Pour simplifier l'environnement de test, vérifiez que l'unité organisationnelle pour laquelle vous autorisez l'accès au client LDAP comporte au moins un utilisateur.
Exécutez une requête LDAP.

La commande suivante montre comment interroger un utilisateur à l'aide de l'outil de ligne de commande ldapsearch. Pour en savoir plus, consultez OpenLDAP lapsearch :

LDAPTLS_CERT={crt_file} LDAPTLS_KEY={key_file} ldapsearch -H ldaps://ldap.google.com:636 -b dc={domain},dc={domain} '(mail={user_email})'

Remplacez les espaces réservés suivants :

{crt_file} : nom du fichier .crt
{key_file} : nom de fichier du fichier .key
{domain} : chaque partie du nom de domaine (par exemple, example.com devient "dc=example,dc=com")
{user_email} : adresse e-mail principale d'un utilisateur du domaine

Utiliser ldapsearch avec stunnel

Si votre déploiement nécessite l'utilisation de stunnel, utilisez les commandes suivantes :

ldapsearch -H ldap://{stunnel_host}:{stunnel_port} -b dc={domain},dc={domain} '(mail={user_email})'

Remplacez les espaces réservés spécifiques à stunnel :
{stunnel_host} : adresse IP ou nom d'hôte de l'ordinateur exécutant stunnel dans votre réseau
{stunnel_port} : port sur lequel stunnel est exécuté. Vérifiez la configuration de stunnel.

Commande ldapsearch exécutée avec succès

Si le résultat de la commande ldapsearch est positif, le nom d'utilisateur et l'adresse e-mail utilisée lors de la création du client LDAP s'affichent au format LDIF.

Exemple :

# extended LDIF # # LDAPv3 # base <dc=example,dc=com> with scope subtree # filter: (objectclass=*) # requesting: ALL #

# example.com dn: dc=example,dc=com objectClass: top objectClass: domain objectClass: dcObject dc: example

# admin-group, Groups, example.com dn: cn=admin-group,ou=Groups,dc=example,dc=com objectClass: top objectClass: groupOfNames objectClass: posixGroup cn: admin-group displayName: admin-group description: gidNumber: 12345 member: uid=admin,ou=Users,dc=example,dc=com memberUid: admin googleAdminCreated: FALSE

# example-user, Users, example.com dn: uid=example-user,ou=Users,dc=example,dc=com objectClass: top objectClass: person objectClass: organizationalPerson objectClass: inetOrgPerson objectClass: posixAccount uid: example-user googleUid: example-user posixUid: example-user cn: example-user cn: FirstName LastName sn: FirstName displayName: FirstName LastName givenName: FirstName mail: example-user@example.com uidNumber: 12345 gidNumber: 12345 homeDirectory: /home/example-user loginShell: /bin/bash gecos:

Erreurs possibles

Le client et/ou la bibliothèque OpenLDAP sont compilés sans être compatibles avec l'extension SNI

Le client LDAP (OpenLDAP, dans ce cas) doit être compatible avec l'extension SNI (Server Name Indication). Dans le cas contraire, une erreur de ce type peut s'afficher :

SASL/EXTERNAL authentication started

ldap_sasl_interactive_bind_s: Unknown authentication method (-6)
additional info: SASL(-4): no mechanism available:

Recommendation :
- Si vous utilisez macOS, SASL est activé par défaut et peut être contourné via l'option "-x".
- Ajoutez l'option -d5 à ldapsearch et vérifiez le résultat de la ligne suivante :
  
  TLS certificate verification: depth: 0, err: 18, subject: /OU=No SNI provided; please fix your client.
ldapsearch renvoie l'état 0 (requête exécutée avec succès), mais ne répertorie aucun utilisateur

La spécification de l'option ldapsearch -x (Utiliser l'authentification SASL) avec les certificats client permet d'authentifier les utilisateurs du domaine, mais ne les répertorie pas.

Recommandation : Supprimez l'option -x et réessayez.

ADSI Edit (Windows)

ldp.exe (Windows)

Effectuer un test de connectivité de base (si nécessaire)

Si vous ne parvenez pas à obtenir un résultat positif à l'étape Vérifier la connectivité et exécuter une requête LDAP, suivez les instructions présentées ici concernant le test de connectivité. Si ldapsearch ne permet pas de renvoyer le bon utilisateur et n'indique pas clairement que la session TLS sous-jacente a été initiée avec succès, vous pouvez vérifier que les calques réseau sur lesquels repose OpenLDAP fonctionnent bien comme prévu à l'aide du client OpenSSL.

Pour effectuer un test de connectivité de base :

Installez l'utilitaire client OpenSSL compatible avec votre système d'exploitation.

La plupart des distributions GNU/Linux utilisent le nom de paquet "openssl". En savoir plus sur les autres systèmes d'exploitation
Connectez-vous manuellement au service LDAP sécurisé à l'aide du client OpenSSL :

openssl s_client -connect ldap.google.com:636

Confirmez que la négociation SSL a réussi en vérifiant la présence de la ligne suivante à la fin du résultat OpenSSL s_client :

Verify return code: 0 (ok)

Erreurs possibles

Le client ou la bibliothèque OpenSSL n'est pas compatible avec l'extension SNI (Server Name Indication)

Pendant le test de connectivité, le résultat suivant peut apparaître :

Verify return code: 18 (self signed certificate)

Le service LDAP sécurisé nécessite un client TLS qui accepte et initie une session TLS à l'aide de l'extension SNI (Server Name Indication). Si le client TLS n'accepte pas l'extension SNI, le serveur TLS (ldap.google.com) renvoie un certificat autosigné qui ne passe pas les contrôles de validation de l'autorité de certification, afin d'indiquer que l'extension SNI est requise.

Ce comportement peut être confirmé en vérifiant le résultat du client OpenSSL au début de la ligne suivante :

depth=0 OU = "No SNI provided; please fix your client.", CN = invalid2.invalid

Cette erreur peut survenir en raison d'une version OpenSSL n'acceptant pas l'extension SNI ou d'une application utilisant la bibliothèque OpenSSL pour laquelle l'extension SNI est explicitement désactivée.

Connexion refusée

Si le résultat suivant apparaît (dans lequel {timestamp} est un horodatage UNIX exprimé en microsecondes), la connexion TCP est activement refusée avant que la négociation TLS puisse démarrer :

{timestamp}:error:0200206F:system library:connect:Connection refused:crypto/bio/b_sock2.c:110: {timestamp}:error:2008A067:BIO routines:BIO_connect:connect error:crypto/bio/b_sock2.c:111:connect:errno=111

Ce problème peut être causé par :

un pare-feu au niveau de l'application ou du système sur la machine locale ;
un pare-feu sur le même réseau physique ou réseau en amont.

Afin d'en savoir plus sur ce problème, déterminez quel hôte refuse la connexion à l'aide d'un test tcptraceroute, par exemple, tcptraceroute ldap.google.com 636.

Articles associés

Choisissez la section sur laquelle vous souhaitez donner votre avis

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?

Tests de connectivité au service LDAP sécurisé

Vérifier la connectivité et exécuter une requête LDAP

Utiliser ldapsearch avec stunnel

Commande ldapsearch exécutée avec succès

Erreurs possibles

Effectuer un test de connectivité de base (si nécessaire)

Erreurs possibles

Articles associés

Ces informations vous-ont elles été utiles ?

Vous avez encore besoin d'aide ?

Essayez les solutions ci-dessous :

Quel est le problème avec cette sélection ?

Ajoutez des informations supplémentaires ou des suggestions