Pruebas de conectividad de LDAP seguro

Esta función está disponible en Cloud Identity Premium Edition. Comparar ediciones 

Antes de intentar conectar el cliente LDAP al servicio LDAP seguro, puedes hacer una prueba de conectividad rápida de manera opcional, con herramientas como ldapsearch, ADSIldp.exe. Estas herramientas también sirven para solucionar problemas en el caso de que surjan errores al intentar conectar tu cliente LDAP al servicio.

Con las pruebas descritas en este artículo, puedes saber si tienes un problema de configuración, ver los mensajes de error más habituales y consultar recomendaciones sobre cómo resolver dichos problemas.

Este artículo contiene las siguientes secciones:

Nota: Si durante este proceso necesitas ponerte en contacto con el equipo de asistencia de Google Workspace o con el de Cloud Identity Premium, recuerda guardar el resultado de los comandos. Asegúrate de quitar cualquier tipo de información personal identificable de los resultados antes de compartirlos con el equipo de asistencia.

Verificar la conectividad y hacer consultas LDAP

Una vez que hayas configurado el servicio LDAP seguro en la consola de administración de Google, puedes verificar la conectividad con LDAP seguro mediante una de estas tres herramientas sencillas: ldapsearch, ADSI o ldp.exe. Para obtener más información e instrucciones, consulta las secciones de este artículo.

Hacer pruebas de conectividad básicas si es necesario

Si no te funciona lo descrito en el apartado Verificar la conectividad y hacer consultas LDAP, sigue las instrucciones de las pruebas de conectividad que encontrarás en esta sección. Si ldapsearch no devuelve el usuario esperado ni indica de forma clara si la sesión TLS subyacente se ha ejecutado correctamente, comprueba con el cliente OpenSSL si las capas de red en las que se basa OpenLDAP funcionan como deberían.

Para hacer pruebas de conectividad básicas, sigue estos pasos:

  1. Instala la utilidad de cliente OpenSSL correspondiente a tu sistema operativo.

    En la mayor parte de las distribuciones GNU/Linux se usa el nombre del paquete "openssl". Consulta información detallada sobre otros sistemas operativos.
     
  2.  Establece una conexión manual con el servicio LDAP seguro mediante el cliente OpenSSL:

    openssl s_client -connect ldap.google.com:636

    La presencia de la siguiente línea al final del resultado de openssl s_client indica que la negociación SSL ha sido positiva: 

    Verify return code: 0 (ok)

Posibles errores

El cliente o la biblioteca OpenSSL no es compatible con el SNI (indicador del nombre del servidor)

Durante la prueba de conectividad, se puede devolver el siguiente resultado:

Verify return code: 18 (self signed certificate)

El servicio LDAP seguro requiere un cliente TLS que sea compatible y que inicie una sesión TLS mediante SNI. Si ese cliente no es compatible con el SNI, el servidor TLS (ldap.google.com) devuelve un certificado con firma automática que no superará las comprobaciones de validación de la autoridad de certificación (CA) para indicar que se requiere el SNI.

Puedes confirmar este comportamiento si en los resultados del cliente de OpenSSL aparece la siguiente línea cerca del inicio:

depth=0 OU = "No SNI provided; please fix your client.", CN = invalid2.invalid

Este error puede producirse si tienes una versión de OpenSSL que no es compatible con el SNI o una aplicación que utilice la biblioteca de OpenSSL y tenga el SNI inhabilitado.

Conexión rechazada

Si se da el siguiente resultado, donde {timestamp} es una marca de tiempo de UNIX en microsegundos, significa que la conexión TCP se rechaza de forma activa antes de que pueda iniciarse la negociación TLS:

{timestamp}:error:0200206F:system library:connect:Connection refused:crypto/bio/b_sock2.c:110:
{timestamp}:error:2008A067:BIO routines:BIO_connect:connect error:crypto/bio/b_sock2.c:111:connect:errno=111

Este rechazo pueden producirlo varios elementos:

  • Un cortafuegos del equipo local a nivel de aplicación o de sistema
  • Un cortafuegos de la misma red física o de la red de subida

Para determinar qué host rechaza la conexión, puedes utilizar tcptraceroute (por ejemplo, tcptraceroute ldap.google.com 636).

Artículos relacionados

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?
15463239626897157609
true
Buscar en el Centro de ayuda
true
true
true
Búsqueda
Borrar búsqueda
Cerrar búsqueda
Menú principal
false
false
false