Deze functie wordt ondersteund in de volgende versies: Frontline Standard; Business Plus; Enterprise Standard en Enterprise Plus; Education Fundamentals, Education Standard, Teaching and Learning Upgrade en Education Plus; Enterprise Essentials Plus. Versies vergelijken
Voordat u uw LDAP-client koppelt aan de Secure LDAP-service, kunt u optioneel een snelle koppelingstest doen met eenvoudige tools als ldapsearch, ADSI of ldp.exe.U kunt deze tools ook gebruiken om problemen op te lossen als u een foutmelding krijgt wanneer u uw LDAP-client koppelt aan de service.
Met de tests die in de onderstaande gedeelten worden beschreven, kunt u zien of er een probleem is met de instellingen, welke veelvoorkomende foutmeldingen er zijn en welke aanbevelingen er zijn om deze problemen op te lossen.
Dit artikel bevat de volgende gedeelten:
- De koppeling controleren en een LDAP-query uitvoeren
U kunt controleren of u kunt koppelen met Secure LDAP en query's kunt uitvoeren door een LDAP-query uit te voeren.
- Indien nodig algemene koppelingstesten uitvoeren
Als u geen LDAP-query kunt uitvoeren, kunt u algemene koppelingstesten uitvoeren om te kijken of er netwerktoegang en -verificatie is.
Opmerking: Als u tijdens dit proces contact opneemt met Google Workspace-support of Cloud Identity Premium-support, moet u de uitvoeren van de opdrachten opslaan. Zorg dat u persoonlijk identificeerbare informatie uit de uitvoeren verwijdert voordat u ze naar het supportteam stuurt.
De koppeling verifiëren en een LDAP-zoekopdracht uitvoeren
Nadat u de Secure LDAP-service heeft ingesteld in de Google Beheerdersconsole, kunt u controleren of de koppeling met Secure LDAP is geslaagd door een van deze 3 eenvoudige tools te gebruiken: ldapsearch, ADSI of ldp.exe. Bekijk de gedeelten hieronder voor meer informatie en instructies.
ldapsearchGebruik de tool ldapsearch via de opdrachtregel om een algemene LDAP-zoekopdracht uit te voeren. Als de LDAP-zoekopdracht slaagt, betekent dit dat de LDAP-client en onderliggende TLS-sessie en TCP-koppeling naar behoren werken.
Ga als volgt te werk om de koppeling te testen met ldapsearch:
- Maak een LDAP-installatie en download het certificaat volgens de instructies in 1. LDAP-clients toevoegen.
Opmerking: Zorg dat de organisatie-eenheid waarvoor u LDAP-clienttoegang autoriseert minstens één gebruiker bevat, om de testomgeving eenvoudiger te maken.
- Voer een LDAP-query uit.
In het volgende voorbeeld ziet u welke opdracht u moet uitvoeren in de opdrachtregeltool van ldapsearch om de gegevens van een bepaalde gebruiker te zoeken (zie OpenLDAP ldapsearch) voor meer informatie):
LDAPTLS_CERT={crt_bestand} LDAPTLS_KEY={key_bestand} ldapsearch -H ldaps://ldap.google.com:636 -b dc={domein},dc={domein} '(mail={e-mailadres_gebruiker})'Vervang de volgende tijdelijke aanduidingen:
{crt_bestand}: De naam van het crt-bestand
{key_bestand}: De bestandsnaam van het key-bestand
{domein}: Elk deel van de domeinnaam. example.com wordt bijvoorbeeld dc=example,dc=com
{e-mailadres_gebruiker}: Het primaire e-mailadres van een gebruiker in het domein.
ldapsearch gebruiken met stunnel
Als u voor uw implementatie stunnel moet gebruiken, gebruikt u de volgende opdrachten:
ldapsearch -H ldap://{stunnel_host}:{stunnel_poort} -b
dc={domein},dc={domein} '(mail={e-mailadres_gebruiker})'
Vervang de volgende stunnelspecifieke tijdelijke aanduidingen:
{stunnel_host}: IP-adres of hostnaam van het apparaat waarop stunnel wordt uitgevoerd in uw netwerk.
{stunnel_poort}: de poort waarop stunnel wordt uitgevoerd. Deze staat in uw stunnel-instellingen.
Geslaagd scenario van de ldapsearch-opdracht
In een geslaagde uitvoer van de opdracht ldapsearch staat de gebruiker met het e-mailadres (zoals opgegeven bij het maken van de LDAP-client) in LDIF-indeling.
Bijvoorbeeld:
# extended LDIF
#
# LDAPv3
# base <dc=example,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#
# example.com
dn: dc=example,dc=com
objectClass: top
objectClass: domain
objectClass: dcObject
dc: example
# admin-group, Groups, example.com
dn: cn=admin-group,ou=Groups,dc=example,dc=com
objectClass: top
objectClass: groupOfNames
objectClass: posixGroup
cn: admin-group
displayName: admin-group
description:
gidNumber: 12345
member: uid=admin,ou=Users,dc=example,dc=com
memberUid: admin
googleAdminCreated: FALSE
# example-user, Users, example.com
dn: uid=example-user,ou=Users,dc=example,dc=com
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: posixAccount
uid: example-user
googleUid: example-user
posixUid: example-user
cn: example-user
cn: FirstName LastName
sn: FirstName
displayName: FirstName LastName
givenName: FirstName
mail: example-user@example.com
uidNumber: 12345
gidNumber: 12345
homeDirectory: /home/example-user
loginShell: /bin/bash
gecos:
Mogelijke foutmeldingen
- OpenLDAP client and/or library are compiled without SNI support (OpenLDAP-client en/of -bibliotheek zijn samengesteld zonder SNI-ondersteuning)
De SNI (Server Name Indication) moet worden ondersteund door de LDAP-client (in dit geval OpenLDAP. Als SNI niet beschikbaar is, ziet u mogelijk een foutmelding die lijkt op de volgende:
SASL/EXTERNAL authentication started
ldap_sasl_interactive_bind_s: Unknown authentication method (-6)
additional info: SASL(-4): no mechanism available:
Aanbeveling:- Als u MacOS gebruikt, is SASL standaard ingeschakeld. Dit kan worden overgeslagen met de optie '-x'.
- Voeg de optie
-d5toe aan ldapsearch en controleer of de volgende regel in de uitvoer staat:
TLS certificate verification: depth: 0, err: 18, subject: /OU=No SNI provided; please fix your client.
-
ldapsearch returns status 0 (success) but no users are outputs (ldapsearch geeft de status 0 (geslaagd), maar er staan geen gebruikers in de uitvoer)
Als u de ldapsearch-optie-x(SASL-verificatie gebruiken) opgeeft met clientcertificaten, worden gebruikers in het domein geverifieerd, maar niet weergegeven.
Aanbeveling: Verwijder de optie-xen probeer het opnieuw.
- Volg stap 1-11 in ldp.exe (Windows) om de clientcertificaten te installeren.
- Ga naar Action > Connect to… (Actie > Koppelen aan).
- Voer de volgende koppelingsinstellingen in:
Name (Naam): Typ een naam voor de koppeling, zoals Google LDAP.
Connection Point (Koppelingspunt): 'Select or type a Distinguished Name or Naming Context' (Selecteer of typ een DN-naam of naamcontext)
Voer uw domeinnaam in DN-indeling in (bijvoorbeeld dc=example,dc=com voor example.com).
Computer: 'Select or type a domain or server' (Selecteer of typ een domein of server)
ldap.google.com
Use SSL-based Encryption (SSL-gebaseerde versleuteling gebruiken): Aangevinkt
- Klik op Advanced... (Geavanceerd) en voer de volgende gegevens in:
Specify credentials (Gegevens opgeven): Aangevinkt
Username (Gebruikersnaam): De gebruikersnaam van de toegangsgegevens uit de Beheerdersconsole
Password (Wachtwoord): Het wachtwoord van de toegangsgegevens uit de Beheerdersconsole
Port Number (Poortnummer): 636
Protocol: LDAP
Simple bind authentication (Eenvoudige koppelingsverificatie): Aangevinkt
- Klik op OK en klik nogmaals op OK.
- Als de koppeling is geslaagd, wordt de directory-content in de base DN weergegeven in het rechtervenster.
- Installeer OpenSSL.
- Converteer de certificaat- en sleutelbestanden naar één bestand in PKCS12-indeling. Voer in een opdrachtprompt het volgende in:
openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
Voer een wachtwoord in om het uitvoerbestand te versleutelen.
- Ga naar het configuratiescherm.
- Zoek in het zoekvak naar 'certificate' (certificaat) en klik op Manage user certificates (Gebruikerscertificaten beheren).
- Ga naar Action > All Tasks > Import… (Actie > Alle taken > Importeren).
- Selecteer Current User (Huidige gebruiker) en klik op Next (Volgende).
- Klik op Browse… (Browsen).
- Selecteer in het dropdownmenu file type (bestandstype) rechtsonder in het dialoogvenster de optie Personal Information Exchange (*.pfx;*.p12).
- Selecteer het bestand ldap-client.p12 uit stap 2. Klik op Open (Openen) en op Next (Volgende).
- Voer het wachtwoord in uit stap 2 en klik op Next (Volgende).
- Selecteer de certificaatopslag Personal (Persoonlijk). Klik op Next (Volgende) en op Finish (Voltooien).
- Voer Ldp.exe uit.
- Ga naar Connection > Connect... (Koppeling > Koppelen).
- Voer de volgende koppelingsgegevens in:
Server: ldap.google.com
Port (Poort): 636
Connectionless (Zonder koppeling): Niet aangevinkt
SSL: Aangevinkt
- Klik op OK.
- Ga naar View > Tree (Weergave > Structuur).
- Voer de base DN in. Dit is uw domeinnaam in DN-indeling (bijvoorbeeld dc=example,dc=com voor example.com).
- Klik op OK.
- Als de koppeling is geslaagd, wordt de directory-content in de base DN weergegeven in het rechtervenster.
Indien nodig algemene koppelingstesten uitvoeren
Als u er niet in slaagt de koppeling te controleren via De koppeling controleren en een LDAP-query uitvoeren, volgt u de instructies in dit gedeelte om de koppeling te testen. Als ldapsearch niet de juiste gebruiker retourneert en geen duidelijke indicatie geeft dat de onderliggende TLS-sessie is geslaagd, controleert u met de OpenSSL-client of de netwerklagen waar OpenLDAP op vertrouwt, naar behoren werken.
Ga als volgt te werk om algemene koppelingstesten uit te voeren:
- Installeer de clienttool openssl voor uw besturingssysteem.
De meeste GNU/Linux-distributies gebruiken de pakketnaam 'openssl'. Bekijk informatie over andere besturingssystemen.
-
Maak een handmatige koppeling met de Secure LDAP-service met de openssl-client:
openssl s_client -connect ldap.google.com:636
Controleer of de SSL-onderhandeling is geslaagd door te kijken of de volgende regel onderaan de uitvoer van de openssl-s_client staat:
Verify return code: 0 (ok)
Mogelijke foutmeldingen
OpenSSL client/library does not support SNI (Server Name Indication) (SNI (Server Name Indication) wordt niet ondersteund door de OpenSSL-client/-bibliotheek)
Tijdens de koppelingstest kunt u de volgende uitvoer krijgen:
Verify return code: 18 (self signed certificate)
Voor de Secure LDAP-service is een TLS-client vereist die een TLS-sessie ondersteunt en start met SNI (Server Name Indication). Als SNI niet wordt ondersteund door de TLS-client, retourneert de TLS-server (ldap.google.com) een zelfondertekend certificaat dat niet door de CA-validatiecontroles komt, om aan te geven dat SNI is vereist.
U kunt controleren of dit het geval is door te kijken of de volgende regel tegen het begin van de uitvoer van de OpenSSL-client staat:
depth=0 OU = "No SNI provided; please fix your client.", CN = invalid2.invalid
Deze fout kan worden veroorzaakt doordat u een OpenSSL-versie gebruikt waarin SNI niet wordt ondersteund, of doordat u een app gebruikt die de OpenSSL-bibliotheek gebruikt met SNI expliciet uitgeschakeld.
Connection refused (Koppeling geweigerd)
Als u de volgende uitvoer ziet (waarbij {tijdstempel} een UNIX-tijdstempel in microseconden is), wordt de TCP-koppeling actief geweigerd voordat de TLS-onderhandeling kan worden gestart:
{tijdstempel}:error:0200206F:system library:connect:Connection refused:crypto/bio/b_sock2.c:110:
{tijdstempel}:error:2008A067:BIO routines:BIO_connect:connect error:crypto/bio/b_sock2.c:111:connect:errno=111
Dit kan de volgende oorzaken hebben:
- Een firewall op app- of systeemniveau op de lokale computer.
- Een firewall op hetzelfde fysieke netwerk of een netwerk upstream.
Gebruik tcptraceroute om te bepalen welke host de koppeling weigert (bijvoorbeeld tcptraceroute ldap.google.com 636).
