验证目录服务器配置

此外,搜索上下文必须有效,以便可识别和访问各组。

可以使用以下步骤验证目录服务器配置是否正确。

前提条件
  • 权限:基础架构管理员。

  • 托管身份验证目录服务的服务器必须:

    • 通过 SSL 进行通信。

    • 对用于 LDAP 的 SSL 端口达成一致。

    • 可通过完全限定域名或 IP 地址被访问。

    • 有基于 RSA 算法的 SSL 证书可用。

过程
  1. ping 命令确定是否与目录服务器具有连接:
    ping directory_server_host_name
              
  2. 确认目录服务器证书的公钥基于 RSA 算法。

    如果目录服务器实际是一组循环运行的 DNS 服务器,则每个服务器具有唯一的证书。使用 nslookup 列出服务器并选择一个。

    使用 openssl s_client 命令连接到其中某个服务器。指定主机名和端口。

    将服务器证书复制到“添加目录服务器”屏幕的“证书”字段中。

    确认该证书将公钥指定为 RSAn 位)。Microsoft Active Directory 的默认选项是 RSA 2048 位。

  3. 确保该证书的时间戳比设备时间晚。

    如果设备和目录同步到不同的时间服务器,或者它们使用不同的时区,则可能存在问题。

  4. 通过从设备控制台中运行 ldapsearch 命令,验证搜索上下文。
    搜索上下文 CN CN=Users

    DC=example,DC=com

    Username: server_admin

    对于此示例,使用 TLS/SSL 的 ldapsearch 命令类似于:

    LDAPTLS_CACERT=location_of_certificate
    ldapsearch -LLL
    –Z -H ldaps://host_name:port
    -b "base-DN"
    -D "bind-DN"
    –W [cn/uid/ssAMAccountName/userPrincipalName]
              

    对于此示例,不使用 TLS/SSL 的 ldapsearch 类似于:

    ldapsearch -LLL
    -H ldap://IP_address:389
    -b "cn=users,dc=example,dc=com"
    -D "cn=server_admin,cn=users,dc=example,dc=com"
    -W CN