Проверка

Прежде чем подключать сами целевые ресурсы к решению, убедитесь, что интеграция по протоколу LDAP работает корректно. Для этого можно использовать различные программные утилиты для тестирования.

ldapsearch

Эту команду можно использовать для проверки операций привязки и поиска в каталоге LDAP. Команда не включена в образы контейнеров сервиса MFA, поэтому установить и настроить пакет утилит для работы с LDAP.

Для этого:

1. Установите пакет утилит:

   apt install -y ldap-utils

2. Укажите путь к корневому сертификату:

   export LDAPTLS_CACERT=/home/user/DEMO-CA.crt

3. Установите права доступа к файлу корневого сертификата:

   chmod 644 DEMO-CA.crt

Формат:

• ldapsearch — отправить тестовый запрос к серверу каталога LDAP;
• [-d<уровень>] — установить уровень отладки;
• [-x] — использовать простую аутентификацию LDAP;
• [-H<URI>] — URI (протокол://доменное имя:порт) сервера LDAP;
• [-D<база>] — база поиска в каталоге LDAP;
• [-D<имя>] — различительное имя пользователя;
• [-W] — запрашивать ввод пароля.

Примеры:

ldapsearch -d 5 -x -H ldaps://ldapproxy.indeed.local:636 -b "dc=indeed,dc=local" -D "CN=Test User,OU=IT,DC=indeed,DC=local" -W

tcpdump

Эту команду для анализа сетевого трафика можно использовать для анализа трафика HTTPS на стороне сервера аутентификации. Она включена в образ агента LDAP-прокси.

Формат (выдержка):

• tcpdump — запустить захват и вывод сетевых пакетов;
• [-v] — выводить в расширенном объеме;
• [-vv] — выводить в максимальном объеме;
• [-n] — IP-адреса и номера портов вместо имен;
• [-i] <интерфейс> — захватывать пакеты на сетевом интерфейсе <интерфейс>;
• [port <порт>] — захватывать только пакеты на порт протокола <порт>;
• [host <хост>] — захватывать только пакеты на/от машины <хост>;
• [and|or|not] — пересекать|объединять|исключать условия.

Примеры:

tcpdump -vv port ldap
tcpdump -i any port ldap or port https