Éditions compatibles avec cette fonctionnalité: Frontline Standard; Business Plus; Enterprise Standard et Enterprise Plus; Education Fundamentals, Education Standard, Teaching and Learning Upgrade et Education Plus; Enterprise Essentials Plus. Comparer votre édition
Avant de tenter de connecter votre client LDAP au service LDAP sécurisé, nous vous conseillons d'effectuer un rapide test de connectivité à l'aide d'outils simples, tels que ldapsearch, ADSI ou ldp.exe. Ces outils peuvent également être utilisés à des fins de dépannage si vous rencontrez des erreurs lors de la tentative de connexion de votre client LDAP au service sécurisé.
Les tests décrits dans les sections ci-dessous vous permettent de déterminer si votre configuration présente un problème, de comprendre les messages d'erreur courants et d'obtenir des recommandations sur la façon dont ces problèmes peuvent être résolus.
Cet article contient les sections suivantes :
- Vérifier la connectivité et exécuter une requête LDAP
L'exécution d'une requête LDAP vous permet de confirmer que vous pouvez vous connecter au service LDAP sécurisé et effectuer des requêtes.
- Effectuer un test de connectivité de base (si nécessaire)
Si l'exécution d'une requête LDAP échoue, effectuez un test de connectivité de base pour vérifier l'accès au réseau et l'authentification.
Remarque : Si vous devez contacter l'assistance Google Workspace ou l'assistance Cloud Identity Premium au cours de cette procédure, pensez à enregistrer les résultats des commandes. Veillez à supprimer les informations permettant d'identifier personnellement l'utilisateur de ces résultats avant de les partager avec l'équipe d'assistance.
Vérifier la connectivité et exécuter une requête LDAP
Une fois que vous avez configuré le service LDAP sécurisé dans la console d'administration Google, vous pouvez vérifier la connectivité au service LDAP sécurisé à l'aide de l'un des trois outils suivants : ldapsearch, ADSI ou ldp.exe. Pour obtenir des informations détaillées et des instructions, consultez les sections ci-dessous.
ldapsearchL'outil ldapsearch vous permet de créer une requête LDAP de base à partir d'une ligne de commande. Si cette requête LDAP s'exécute avec succès, cela indique que le client LDAP, la session TLS sous-jacente et la connexion TCP fonctionnent comme prévu.
Pour tester la connectivité avec ldapsearch :
- Créez une configuration LDAP et téléchargez le certificat en suivant les instructions décrites dans la section 1. Ajouter des clients LDAP.
Remarque : Pour simplifier l'environnement de test, vérifiez que l'unité organisationnelle pour laquelle vous autorisez l'accès au client LDAP comporte au moins un utilisateur.
- Exécutez une requête LDAP.
La commande suivante montre comment interroger un utilisateur à l'aide de l'outil de ligne de commande ldapsearch. Pour en savoir plus, consultez OpenLDAP lapsearch :
LDAPTLS_CERT={crt_file} LDAPTLS_KEY={key_file} ldapsearch -H ldaps://ldap.google.com:636 -b dc={domain},dc={domain} '(mail={user_email})'
Remplacez les espaces réservés suivants :
{crt_file} : nom du fichier .crt
{key_file} : nom de fichier du fichier .key
{domain} : chaque partie du nom de domaine (par exemple, example.com devient "dc=example,dc=com")
{user_email} : adresse e-mail principale d'un utilisateur du domaine
Utiliser ldapsearch avec stunnel
Si votre déploiement nécessite l'utilisation de stunnel, utilisez les commandes suivantes :
ldapsearch -H ldap://{stunnel_host}:{stunnel_port} -b
dc={domain},dc={domain} '(mail={user_email})'
Remplacez les espaces réservés spécifiques à stunnel :
{stunnel_host} : adresse IP ou nom d'hôte de l'ordinateur exécutant stunnel dans votre réseau
{stunnel_port} : port sur lequel stunnel est exécuté. Vérifiez la configuration de stunnel.
Commande ldapsearch exécutée avec succès
Si le résultat de la commande ldapsearch est positif, le nom d'utilisateur et l'adresse e-mail utilisée lors de la création du client LDAP s'affichent au format LDIF.
Exemple :
# extended LDIF
#
# LDAPv3
# base <dc=example,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#
# example.com
dn: dc=example,dc=com
objectClass: top
objectClass: domain
objectClass: dcObject
dc: example
# admin-group, Groups, example.com
dn: cn=admin-group,ou=Groups,dc=example,dc=com
objectClass: top
objectClass: groupOfNames
objectClass: posixGroup
cn: admin-group
displayName: admin-group
description:
gidNumber: 12345
member: uid=admin,ou=Users,dc=example,dc=com
memberUid: admin
googleAdminCreated: FALSE
# example-user, Users, example.com
dn: uid=example-user,ou=Users,dc=example,dc=com
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: posixAccount
uid: example-user
googleUid: example-user
posixUid: example-user
cn: example-user
cn: FirstName LastName
sn: FirstName
displayName: FirstName LastName
givenName: FirstName
mail: example-user@example.com
uidNumber: 12345
gidNumber: 12345
homeDirectory: /home/example-user
loginShell: /bin/bash
gecos:
Erreurs possibles
- Le client et/ou la bibliothèque OpenLDAP sont compilés sans être compatibles avec l'extension SNI
Le client LDAP (OpenLDAP, dans ce cas) doit être compatible avec l'extension SNI (Server Name Indication). Dans le cas contraire, une erreur de ce type peut s'afficher :
SASL/EXTERNAL authentication started
ldap_sasl_interactive_bind_s: Unknown authentication method (-6)
additional info: SASL(-4): no mechanism available:
Recommendation :- Si vous utilisez macOS, SASL est activé par défaut et peut être contourné via l'option "-x".
- Ajoutez l'option
-d5
à ldapsearch et vérifiez le résultat de la ligne suivante :
TLS certificate verification: depth: 0, err: 18, subject: /OU=No SNI provided; please fix your client.
-
ldapsearch renvoie l'état 0 (requête exécutée avec succès), mais ne répertorie aucun utilisateur
La spécification de l'option ldapsearch-x
(Utiliser l'authentification SASL) avec les certificats client permet d'authentifier les utilisateurs du domaine, mais ne les répertorie pas.
Recommandation : Supprimez l'option-x
et réessayez.
- Suivez les étapes 1 à 11 de la section ldp.exe (Windows) pour installer les certificats client.
- Accédez à Action > Connect to (Action > Se connecter à).
- Saisissez les paramètres de connexion suivants :
Name (Nom) : saisissez un nom pour votre connexion, par exemple Google LDAP.
Connection Point (Point de connexion) : sélectionnez ou saisissez un nom distinctif ou un contexte d'attribution de noms.
Saisissez votre nom de domaine au format DN, par exemple dc=example,dc=com pour example.com.
Computer (Ordinateur) : sélectionnez ou saisissez un nom de domaine ou un serveur.
ldap.google.com
Use SSL-based Encryption (Utiliser le chiffrement SSL) : cochez cette option
- Cliquez sur Advanced… (Paramètres avancés) et saisissez les informations suivantes :
Specify credentials (Indiquer les identifiants) : cochez cette option
Username(Nom d'utilisateur) : nom d'utilisateur utilisé pour accéder à la console d'administration
Password (Mot de passe) : mot de passe utilisé pour accéder à la console d'administration
Port Number (Numéro de port) : 636
Protocol (Protocole) : LDAP
Simple bind authentication (Authentification par association simple) : cochez cette option
- Cliquez sur OK, puis de nouveau sur OK.
- Si la connexion aboutit, le contenu de l'annuaire s'affiche dans le volet de droite dans le format DN de base.
- Installez OpenSSL.
- Convertissez les fichiers de clé et de certificat en un fichier au format PKCS12. Lorsque l'invite de commande apparaît, saisissez les commandes suivantes :
openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
Saisissez votre mot de passe pour chiffrer le fichier de sortie.
- Accédez au panneau de configuration.
- Dans le champ de recherche, saisissez "certificate", puis cliquez sur Manage user certificates (Gérer les certificats utilisateur).
- Accédez à Action > All Tasks > Import… (Action > Toutes les tâches > Importer).
- Sélectionnez Current User (Utilisateur actuel), puis cliquez sur Next (Suivant).
- Cliquez sur Browse (Parcourir).
- Dans la liste déroulante File type (Type de fichier) en bas à droite de la boîte de dialogue, sélectionnez Personal Information Exchange (*.pfx;*.p12) (Échange d'informations personnelles [*.pfx;*.p12]).
- Sélectionnez le fichier ldap-client.p12 créé à l'étape 2, cliquez sur Open (Ouvrir), puis sur Next (Suivant).
- Saisissez le mot de passe de l'étape 2, puis cliquez sur Next (Suivant).
- Sélectionnez le magasin de certificats Personal (Personnel), cliquez sur Next (Suivant), puis sur Finish (Terminer).
- Exécutez Ldp.exe.
- Accédez à Connection > Connect (Connexion > Se connecter).
- Saisissez les informations de connexion suivantes :
Server (Serveur) : ldap.google.com
Port : 636
Connectionless (Sans connexion) : décochez cette option
SSL : décochez cette option
- Cliquez sur OK.
- Accédez à View > Tree (Affichage > Arborescence).
- Saisissez le nom de domaine de base. Il s'agit de votre nom de domaine au format DN, par exemple dc=example,dc=com pour example.com.
- Cliquez sur OK.
- Si la connexion aboutit, le contenu de l'annuaire s'affiche dans le volet de droite dans le format DN de base.
Effectuer un test de connectivité de base (si nécessaire)
Si vous ne parvenez pas à obtenir un résultat positif à l'étape Vérifier la connectivité et exécuter une requête LDAP, suivez les instructions présentées ici concernant le test de connectivité. Si ldapsearch ne permet pas de renvoyer le bon utilisateur et n'indique pas clairement que la session TLS sous-jacente a été initiée avec succès, vous pouvez vérifier que les calques réseau sur lesquels repose OpenLDAP fonctionnent bien comme prévu à l'aide du client OpenSSL.
Pour effectuer un test de connectivité de base :
- Installez l'utilitaire client OpenSSL compatible avec votre système d'exploitation.
La plupart des distributions GNU/Linux utilisent le nom de paquet "openssl". En savoir plus sur les autres systèmes d'exploitation
-
Connectez-vous manuellement au service LDAP sécurisé à l'aide du client OpenSSL :
openssl s_client -connect ldap.google.com:636
Confirmez que la négociation SSL a réussi en vérifiant la présence de la ligne suivante à la fin du résultat OpenSSL s_client :
Verify return code: 0 (ok)
Erreurs possibles
Le client ou la bibliothèque OpenSSL n'est pas compatible avec l'extension SNI (Server Name Indication)
Pendant le test de connectivité, le résultat suivant peut apparaître :
Verify return code: 18 (self signed certificate)
Le service LDAP sécurisé nécessite un client TLS qui accepte et initie une session TLS à l'aide de l'extension SNI (Server Name Indication). Si le client TLS n'accepte pas l'extension SNI, le serveur TLS (ldap.google.com) renvoie un certificat autosigné qui ne passe pas les contrôles de validation de l'autorité de certification, afin d'indiquer que l'extension SNI est requise.
Ce comportement peut être confirmé en vérifiant le résultat du client OpenSSL au début de la ligne suivante :
depth=0 OU = "No SNI provided; please fix your client.", CN = invalid2.invalid
Cette erreur peut survenir en raison d'une version OpenSSL n'acceptant pas l'extension SNI ou d'une application utilisant la bibliothèque OpenSSL pour laquelle l'extension SNI est explicitement désactivée.
Connexion refusée
Si le résultat suivant apparaît (dans lequel {timestamp} est un horodatage UNIX exprimé en microsecondes), la connexion TCP est activement refusée avant que la négociation TLS puisse démarrer :
{timestamp}:error:0200206F:system library:connect:Connection refused:crypto/bio/b_sock2.c:110:
{timestamp}:error:2008A067:BIO routines:BIO_connect:connect error:crypto/bio/b_sock2.c:111:connect:errno=111
Ce problème peut être causé par :
- un pare-feu au niveau de l'application ou du système sur la machine locale ;
- un pare-feu sur le même réseau physique ou réseau en amont.
Afin d'en savoir plus sur ce problème, déterminez quel hôte refuse la connexion à l'aide d'un test tcptraceroute, par exemple, tcptraceroute ldap.google.com 636.