我正在尝试使用 LDAP 搜索来测试 LDAP 的 Moodle 身份验证。当我运行
$ ldapsearch -H ldaps://totally.legit.hostname "(uid=jldugger)" -b dc=example,dc=org memberOf
我回复说:
ldap_sasl_interactive_bind_s: Can't contact LDAP server (-1)
additional info: TLS error -5950:File not found`
我不清楚 TLS 错误是什么意思,我的谷歌搜索功能也失败了。我知道 AD 服务器通常充当 CA,而且这个服务器很可能没有签名,-5950 就是这个意思吗?如果是这样,有没有关于如何克服 TLS 验证的提示,以便我可以继续找出正确的 baseDN、OU 和其他设置?
编辑1:我能够使用 netcat 打开到 AD 服务器的端口,因此显然 AD 至少在监听该端口。
答案1
在 Active Directory 域控制器上,LDAPS 支持是可选的,并且需要启用适当的证书;否则,仅提供 LDAP 服务。检查您的服务器是否支持 LDAPS 的快速方法是尝试连接到其 TCP 端口 636(或netstat在服务器本身上运行):如果它已关闭,则 LDAPS 未启用,您应该启用它或恢复为普通 LDAP。
顺便说一句,域控制器“通常不充当 CA”,并且在其中一个上运行 CA 是一种非常糟糕的做法;强烈建议向它们提供适当的证书以支持 LDAPS,但 CA 实际上应该在其他地方实现。