Feilsøking av Linux LDAP -problemer

LDAP er et ganske intuitivt autentiseringsverktøy. Dette betyr imidlertid ikke at protokollen er blottet for problemer. Det er problemer som enhver bruker vil oppleve fra tid til annen når du samhandler med LDAP.

Selvfølgelig kan disse problemene være et mareritt, hovedsakelig hvis du er ny på dette verktøyet. Ikke bekymre deg fordi det alltid er løsninger på hvert Linux LDAP -problem du kan møte.

Denne artikkelen skisserer mulige Linux LDAP -problemer som du kan møte ved siden av deres mulige løsninger. Blant de øverste Linux LDAP -problemene som vi vil se på inkluderer konfigurasjonsproblemer, tilkoblingsproblemer og feilsøking av brukergrupper og brukerproblemer.

Vi vil takle dette problemet, forutsatt at du allerede har Linux LDAP lastet ned og installert i systemene dine. Vi vil også håndtere dette emnet, forutsatt at du har alle de primære LDAP -verktøyene og pakkene installert i systemene dine. Men vi vil kort ta opp denne forutsetningen hvis vi ikke har dem på plass.

La oss gå!

Forutsetninger

1. Bekreft at maskinene dine har en funksjonell, riktig installert Linux LDAP -kjøring. Bruk følgende kommando til å installere LDAP hvis du ikke har en. Verktøyet gjelder hvis du bruker Ubuntu:

2. Installer LDAPSearch -kommandoen som vil være nyttig med testing og feilsøking av problemer med LDAP -katalogserveren. Følgende kommando vil ikke bare installere LDAPSearch, men vil også installere de andre LDAP -demonene:

3. Overvåk LDAP -serverens status for å sikre at alt går bra. Mens du er på dette, er det forskjellige komponenter som du trenger å sjekke og bekrefte. Tilstanden til LDAP-klient-serveren din er avhengig av flere elementer. Vi vil forklare noen kommandoer som kan hjelpe deg med å konstatere tilstanden til din klientstatus:

Kontroller at LDAP_CACHEMGR fungerer bra - LDAP_CACHEMGR må fungere riktig for å få ønsket utgang. De to måtene å bekrefte statusen på er å bruke PS -kommandoen sammen med EF -alternativet som i følgende illustrasjon:

Alternativt kan du passere -g -alternativet over LDAP_CACHEMGR for å sjekke klientens statusinformasjon og diagnostisere mulige problemer.

Bekreft den eksisterende profilinformasjonen - Du kan anta en superbrukerstatus og sjekke profilinformasjonen som vist i følgende illustrasjon:

Sjekk klientdataene fra hvilken som helst ikke-klientmaskin - Du kan bruke ldapseach -kommandoen til å sjekke serverdataene. Denne kommandoen er bare brukbar hvis du ennå ikke har opprettet en klient og ønsker å sjekke dataene på serveren.

Feilsøking Linux LDAP -konfigurasjonsproblemer

La oss diskutere de vanlige Linux LDAP -konfigurasjonsproblemene ved siden av løsningene deres!

Uavklart vertsnavn
LDAP -klienten er designet for å returnere de fullt kvalifiserte navnene ved vert. Kravet er at de kvalifiserte navnene må ha minst en enkelt prikk for å oppfylle kvalifiseringsstandardene. Klienten skal returnere de kvalifiserte navnene som de er.

For eksempel, hvis det lagrede navnet er Kenhint.TECH, klienten returnerer Kenhint.TECH som vertsnavnet fordi den har en prikk, derav betraktet som et fullt kvalifisert navn. Klienten legger imidlertid domenedelen av navnet hvis det lagrede navnet ikke er fullt kvalifisert. For eksempel, hvis det lagrede navnet er Kenhint, blir det returnerte navnet Kenhint.domenenavn.

Mislykkede pålogginger
LDAP -klienter bruker ofte pluggbare autentiseringsmoduler for brukergodkjenning under påloggingsprosedyrene. Når du bruker den vanlige PAM -versjonen, leser serveren passordet før klientsiden teller sjekker det. Denne påloggingsprosedyren kan noen ganger mislykkes under følgende forhold:

• Passordtjenesten bruker ikke LDAP i /etc/nsswitch.konf fil.
• Feil passord av proxy -agenten.
• Feil fra proxy -agenten å lese brukerens brukerpassord kan også være en grunn. I et slikt tilfelle, la proxy -agenten lese passordet siden proxy -agenten må returnere brukerpassord for sammenligning.
• Det mangler et forhåndsdefinert passord for brukeren.
• Manglende evne til å nå brukerpassordet.
• Det er ingen kryptert lagret.
• Det mangler en forhåndsdefinert bruker i LDAP -navneområdet.
• Utilgjengelig LDAP -servere.

Du kan sjekke serverstatusen ved å bruke følgende kommando:

Testing av tilkoblingen i Linux LDAP

Du kan teste forbindelsen med følgende kommando:

Validering av LDAP -filtre

Du kan bruke LDAPSearch -kommandoen til å opprette et søkeverktøy basert på LDAP -filtrene og hente dataene fra LDAP -serverne. I tilfelle søkeutgangen bringer tilbake en eller flere oppføringer, anses søket som riktig. Mangelen på en oppføring i søkeresultatet betyr imidlertid at LDAP -filteret er feil.

Konklusjon

Eksemplene er de vanlige problemene du kan møte under interaksjonen med LDAP -protokollen. Fra de medfølgende løsningene håper jeg at du raskt kan løse dem hvis du skulle møte noen av disse problemene.

Kilder:

• https: // www.IBM.com/docs/es/cloud-private/3.2.0?Emne = LDAP-TroubleShooting-Configuration
• https: // www.Suse.com/support/kb/doc/?ID = 000017935
• https: // www2.MicroStrategy.com/producthelp/current/systemadmin/webhelp
  /Lang_1033/innhold/feilsøking_ldap_authentication.htm
• https: // dokumenter.Oracle.COM/CD/E19683-01/817-2655/6MIA7MUL5/INDEX.html
• https: // fellesskap.Spiceworks.com/emne/1232649-TroubleShooting-LDAP-utgave
• https: // dokumenter.Rapid7.com/innsiktIDR/LDAP-TROUBLSHOOTING/