Pruebas de conectividad de LDAP seguro

Esta función está disponible en Cloud Identity Premium Edition. Comparar ediciones

Antes de intentar conectar el cliente LDAP al servicio LDAP seguro, puedes hacer una prueba de conectividad rápida de manera opcional, con herramientas como ldapsearch, ADSI o ldp.exe. Estas herramientas también sirven para solucionar problemas en el caso de que surjan errores al intentar conectar tu cliente LDAP al servicio.

Con las pruebas descritas en este artículo, puedes saber si tienes un problema de configuración, ver los mensajes de error más habituales y consultar recomendaciones sobre cómo resolver dichos problemas.

Este artículo contiene las siguientes secciones:

Verificar la conectividad y hacer consultas LDAP
Al ejecutar una consulta LDAP, puedes confirmar si es posible conectarte a LDAP seguro y hacer consultas.
Hacer pruebas de conectividad básicas si es necesario
Si no se puede ejecutar una consulta LDAP, haz pruebas de conectividad básicas para comprobar el acceso y la autenticación de la red.

Nota: Si durante este proceso necesitas ponerte en contacto con el equipo de asistencia de Google Workspace o con el de Cloud Identity Premium, recuerda guardar el resultado de los comandos. Asegúrate de quitar cualquier tipo de información personal identificable de los resultados antes de compartirlos con el equipo de asistencia.

Verificar la conectividad y hacer consultas LDAP

Una vez que hayas configurado el servicio LDAP seguro en la consola de administración de Google, puedes verificar la conectividad con LDAP seguro mediante una de estas tres herramientas sencillas: ldapsearch, ADSI o ldp.exe. Para obtener más información e instrucciones, consulta las secciones de este artículo.

ldapsearch

Desde una línea de comandos, con la herramienta ldapsearch puedes hacer una consulta LDAP básica. Si el resultado es positivo, significa que el cliente LDAP y las sesiones TLS subyacentes, además de las conexiones TCP, están funcionando correctamente.

Para probar la conectividad con ldapsearch, sigue estos pasos:

Crea una configuración LDAP y descarga el certificado siguiendo las instrucciones de la sección 1. Añadir clientes LDAP.

Nota: Para simplificar el entorno de prueba, asegúrate de que haya al menos un usuario en la unidad organizativa a la que has autorizado el acceso al cliente LDAP.
Haz una consulta LDAP.

Consulta la página sobre ldapsearch de OpenLDAP para obtener más información sobre cómo hacer una consulta sobre un usuario particular. A continuación tienes un ejemplo de cómo se puede emplear la herramienta de línea de comandos ldapsearch:

LDAPTLS_CERT={crt_file} LDAPTLS_KEY={key_file} ldapsearch -H ldaps://ldap.google.com:636 -b dc={domain},dc={domain} '(mail={user_email})'

Sustituye los siguientes marcadores de posición:

{crt_file} : el nombre del archivo .crt
{key_file} : el nombre del archivo .key
{domain} : cada parte del nombre de dominio, por ejemplo, example.com sería dc=example,dc=com"
{user_email} : dirección de correo electrónico principal de un usuario del dominio

Utilizar ldapsearch con Stunnel

Si tu implementación requiere que utilices Stunnel, emplea este comando:

ldapsearch -H ldap://{stunnel_host}:{stunnel_port} -b dc={domain},dc={domain} '(mail={user_email})'

Sustituye los marcadores de posición específicos de Stunnel:
{stunnel_host} : dirección IP o nombre de host del equipo que ejecuta Stunnel en tu red.
{stunnel_port} : puerto en el que se ejecuta Stunnel. Comprueba la configuración.

Comando ldapsearch ejecutado correctamente

Si el comando ldapsearch devuelve un resultado positivo, se mostrará en formato LDIF el usuario con el correo electrónico que especificaste al crear el cliente LDAP.

Por ejemplo:

# extended LDIF # # LDAPv3 # base <dc=example,dc=com> with scope subtree # filter: (objectclass=*) # requesting: ALL #

# example.com dn: dc=example,dc=com objectClass: top objectClass: domain objectClass: dcObject dc: example

# admin-group, Groups, example.com dn: cn=admin-group,ou=Groups,dc=example,dc=com objectClass: top objectClass: groupOfNames objectClass: posixGroup cn: admin-group displayName: admin-group description: gidNumber: 12345 member: uid=admin,ou=Users,dc=example,dc=com memberUid: admin googleAdminCreated: FALSE

# example-user, Users, example.com dn: uid=example-user,ou=Users,dc=example,dc=com objectClass: top objectClass: person objectClass: organizationalPerson objectClass: inetOrgPerson objectClass: posixAccount uid: example-user googleUid: example-user posixUid: example-user cn: example-user cn: FirstName LastName sn: FirstName displayName: FirstName LastName givenName: FirstName mail: example-user@example.com uidNumber: 12345 gidNumber: 12345 homeDirectory: /home/example-user loginShell: /bin/bash gecos:

Posibles errores

El cliente o la biblioteca de OpenLDAP se compilan sin compatibilidad con el SNI

El cliente LDAP (OpenLDAP, en este caso) debe ser compatible con el indicador del nombre del servidor (SNI). Si el SNI no está disponible, es posible que aparezca un error similar a este:

SASL/EXTERNAL authentication started

ldap_sasl_interactive_bind_s: Unknown authentication method (-6)
additional info: SASL(-4): no mechanism available:

Recomendación:
- Si utilizas macOS, el método SASL está habilitado de forma predeterminada y se puede omitir con la opción "-x".
- Añade la opción -d5 a ldapsearch y comprueba el resultado de la siguiente línea:
  
  TLS certificate verification: depth: 0, err: 18, subject: /OU=No SNI provided; please fix your client.
ldapsearch se ejecuta correctamente y devuelve el estado 0, pero no hay resultados de usuarios

Si especificas la opción de ldapsearch -x (utilizar autenticación SASL) con certificados de cliente, se autenticará correctamente, pero no se generará una lista con los usuarios del dominio.

Recomendación: Elimina la opción -x e inténtalo de nuevo.

ADSI Edit (Windows)

ldp.exe (Windows)

Hacer pruebas de conectividad básicas si es necesario

Si no te funciona lo descrito en el apartado Verificar la conectividad y hacer consultas LDAP, sigue las instrucciones de las pruebas de conectividad que encontrarás en esta sección. Si ldapsearch no devuelve el usuario esperado ni indica de forma clara si la sesión TLS subyacente se ha ejecutado correctamente, comprueba con el cliente OpenSSL si las capas de red en las que se basa OpenLDAP funcionan como deberían.

Para hacer pruebas de conectividad básicas, sigue estos pasos:

Instala la utilidad de cliente OpenSSL correspondiente a tu sistema operativo.

En la mayor parte de las distribuciones GNU/Linux se usa el nombre del paquete "openssl". Consulta información detallada sobre otros sistemas operativos.
Establece una conexión manual con el servicio LDAP seguro mediante el cliente OpenSSL:

openssl s_client -connect ldap.google.com:636

La presencia de la siguiente línea al final del resultado de openssl s_client indica que la negociación SSL ha sido positiva:

Verify return code: 0 (ok)

Posibles errores

El cliente o la biblioteca OpenSSL no es compatible con el SNI (indicador del nombre del servidor)

Durante la prueba de conectividad, se puede devolver el siguiente resultado:

Verify return code: 18 (self signed certificate)

El servicio LDAP seguro requiere un cliente TLS que sea compatible y que inicie una sesión TLS mediante SNI. Si ese cliente no es compatible con el SNI, el servidor TLS (ldap.google.com) devuelve un certificado con firma automática que no superará las comprobaciones de validación de la autoridad de certificación (CA) para indicar que se requiere el SNI.

Puedes confirmar este comportamiento si en los resultados del cliente de OpenSSL aparece la siguiente línea cerca del inicio:

depth=0 OU = "No SNI provided; please fix your client.", CN = invalid2.invalid

Este error puede producirse si tienes una versión de OpenSSL que no es compatible con el SNI o una aplicación que utilice la biblioteca de OpenSSL y tenga el SNI inhabilitado.

Conexión rechazada

Si se da el siguiente resultado, donde {timestamp} es una marca de tiempo de UNIX en microsegundos, significa que la conexión TCP se rechaza de forma activa antes de que pueda iniciarse la negociación TLS:

{timestamp}:error:0200206F:system library:connect:Connection refused:crypto/bio/b_sock2.c:110: {timestamp}:error:2008A067:BIO routines:BIO_connect:connect error:crypto/bio/b_sock2.c:111:connect:errno=111

Este rechazo pueden producirlo varios elementos:

Un cortafuegos del equipo local a nivel de aplicación o de sistema
Un cortafuegos de la misma red física o de la red de subida

Para determinar qué host rechaza la conexión, puedes utilizar tcptraceroute (por ejemplo, tcptraceroute ldap.google.com 636).

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?

Pruebas de conectividad de LDAP seguro

Verificar la conectividad y hacer consultas LDAP

Utilizar ldapsearch con Stunnel

Comando ldapsearch ejecutado correctamente

Posibles errores

Hacer pruebas de conectividad básicas si es necesario

Posibles errores

Artículos relacionados

¿Te ha resultado útil esta información?

¿Cuál es el problema de esta selección?

Compartir más información o sugerencias