验证目录服务器配置

有关这些要求的信息,请参阅“添加/编辑目录”屏幕详细信息“添加目录服务器”屏幕详细信息

此外,搜索上下文必须有效,以便可识别和访问各组。

可以使用以下步骤验证目录服务器配置是否正确。

前提条件

  • 所需的最低权限:基础架构管理员。

  • 托管身份验证目录服务的服务器必须:

    • 通过 SSL 进行通信。

    • 对用于 LDAP 的 SSL 端口达成一致。

    • 可通过完全限定域名或 IP 地址被访问。

    • 有基于 RSA 算法的 SSL 证书可用。

过程
  1. ping 命令确定是否与目录服务器具有连接: 
    ping directory_server_host_name
  2. 确认目录服务器证书的公钥基于 RSA 算法。

    如果目录服务器实际是一组循环运行的 DNS 服务器,则每个服务器具有唯一的证书。使用 nslookup 列出服务器并选择一个。

    使用 openssl s_client 命令连接到其中某个服务器。指定主机名和端口。

    将服务器证书复制到“添加目录服务器”屏幕的“证书”字段中。

    确认该证书将公钥指定为 RSAn 位)。Microsoft Active Directory 的默认选项是 RSA 2048 位。

  3. 确保该证书的时间戳比设备时间晚。

    如果设备和目录同步到不同的时间服务器,或者它们使用不同的时区,则可能存在问题。

  4. 通过从设备控制台中运行 ldapsearch 命令,验证搜索上下文。
    搜索上下文 CN CN=Users

    DC=example,DC=com

    Username: server_admin

    对于此示例,使用 TLS/SSL 的 ldapsearch 命令类似于:

    LDAPTLS_CACERT=location_of_certificate
ldapsearch -LLL
–Z -H ldaps://host_name:port
-b "base-DN"
-D "bind-DN"
–W [cn/uid/ssAMAccountName/userPrincipalName]

    对于此示例,不使用 TLS/SSL 的 ldapsearch 类似于:

    ldapsearch -LLL
-H ldap://IP_address:389
-b "cn=users,dc=example,dc=com"
-D "cn=server_admin,cn=users,dc=example,dc=com"
-W CN