Tests de connectivité au service LDAP sécurisé

Éditions compatibles avec cette fonctionnalité: Frontline Standard; Business Plus; Enterprise Standard et Enterprise Plus; Education Fundamentals, Education Standard, Teaching and Learning Upgrade et Education Plus; Enterprise Essentials Plus. Comparer votre édition

Avant de tenter de connecter votre client LDAP au service LDAP sécurisé, nous vous conseillons d'effectuer un rapide test de connectivité à l'aide d'outils simples, tels que ldapsearch, ADSI ou ldp.exe. Ces outils peuvent également être utilisés à des fins de dépannage si vous rencontrez des erreurs lors de la tentative de connexion de votre client LDAP au service sécurisé.

Les tests décrits dans les sections ci-dessous vous permettent de déterminer si votre configuration présente un problème, de comprendre les messages d'erreur courants et d'obtenir des recommandations sur la façon dont ces problèmes peuvent être résolus.

Cet article contient les sections suivantes :

Remarque : Si vous devez contacter l'assistance Google Workspace ou l'assistance Cloud Identity Premium au cours de cette procédure, pensez à enregistrer les résultats des commandes. Veillez à supprimer les informations permettant d'identifier personnellement l'utilisateur de ces résultats avant de les partager avec l'équipe d'assistance.

Vérifier la connectivité et exécuter une requête LDAP

Une fois que vous avez configuré le service LDAP sécurisé dans la console d'administration Google, vous pouvez vérifier la connectivité au service LDAP sécurisé à l'aide de l'un des trois outils suivants : ldapsearch, ADSI ou ldp.exe. Pour obtenir des informations détaillées et des instructions, consultez les sections ci-dessous.

Effectuer un test de connectivité de base (si nécessaire)

Si vous ne parvenez pas à obtenir un résultat positif à l'étape Vérifier la connectivité et exécuter une requête LDAP, suivez les instructions présentées ici concernant le test de connectivité. Si ldapsearch ne permet pas de renvoyer le bon utilisateur et n'indique pas clairement que la session TLS sous-jacente a été initiée avec succès, vous pouvez vérifier que les calques réseau sur lesquels repose OpenLDAP fonctionnent bien comme prévu à l'aide du client OpenSSL.

Pour effectuer un test de connectivité de base :

  1. Installez l'utilitaire client OpenSSL compatible avec votre système d'exploitation.

    La plupart des distributions GNU/Linux utilisent le nom de paquet "openssl". En savoir plus sur les autres systèmes d'exploitation
     
  2.  Connectez-vous manuellement au service LDAP sécurisé à l'aide du client OpenSSL :

    openssl s_client -connect ldap.google.com:636

    Confirmez que la négociation SSL a réussi en vérifiant la présence de la ligne suivante à la fin du résultat OpenSSL s_client :

    Verify return code: 0 (ok)

Erreurs possibles

Le client ou la bibliothèque OpenSSL n'est pas compatible avec l'extension SNI (Server Name Indication)

Pendant le test de connectivité, le résultat suivant peut apparaître :

Verify return code: 18 (self signed certificate)

Le service LDAP sécurisé nécessite un client TLS qui accepte et initie une session TLS à l'aide de l'extension SNI (Server Name Indication). Si le client TLS n'accepte pas l'extension SNI, le serveur TLS (ldap.google.com) renvoie un certificat autosigné qui ne passe pas les contrôles de validation de l'autorité de certification, afin d'indiquer que l'extension SNI est requise.

Ce comportement peut être confirmé en vérifiant le résultat du client OpenSSL au début de la ligne suivante :

depth=0 OU = "No SNI provided; please fix your client.", CN = invalid2.invalid

Cette erreur peut survenir en raison d'une version OpenSSL n'acceptant pas l'extension SNI ou d'une application utilisant la bibliothèque OpenSSL pour laquelle l'extension SNI est explicitement désactivée.

Connexion refusée

Si le résultat suivant apparaît (dans lequel {timestamp} est un horodatage UNIX exprimé en microsecondes), la connexion TCP est activement refusée avant que la négociation TLS puisse démarrer :

{timestamp}:error:0200206F:system library:connect:Connection refused:crypto/bio/b_sock2.c:110:
{timestamp}:error:2008A067:BIO routines:BIO_connect:connect error:crypto/bio/b_sock2.c:111:connect:errno=111

Ce problème peut être causé par :

  • un pare-feu au niveau de l'application ou du système sur la machine locale ;
  • un pare-feu sur le même réseau physique ou réseau en amont.

Afin d'en savoir plus sur ce problème, déterminez quel hôte refuse la connexion à l'aide d'un test tcptraceroute, par exemple, tcptraceroute ldap.google.com 636.

Articles associés

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?
13324397215050503901
true
Rechercher dans le centre d'aide
true
true
true
true
true
73010
false
false
Recherche
Effacer la recherche
Fermer le champ de recherche
Menu principal
false
false