5.10. Active Directory との統合のトラブルシューティング

手順

1. ldapsearch コマンドを使用して Active Directory Domain Controller に対してテストクエリーをリモートで実行して、LDAP 接続をテストします。結果に成功すると、ネットワーク接続が機能しており、AD DS サービスが稼働中であることを確認できます。以下の例では、テストクエリーはサーバー 192.0.2.250 のポート 636 に対して実行されます。

   # ldapsearch -Z -x -H ldaps://192.0.2.250:636 -D "cn=openstack,ou=Users,dc=director,dc=example,dc=com" -W -b "ou=Users,dc=director,dc=example,dc=com" -s sub "(memberOf=cn=OSuser,ou=Groups,dc=director,dc=example,dc=com)"

   注記
   • ldapsearch は、openldap-clients パッケージに含まれています。このパッケージは、# dnf install openldap-clients のコマンドを実行するとインストールすることができます。
   • このコマンドを実行すると、ホストオペレーティングシステム内で必要な証明書が特定されるはずです。

2. ldapsearch コマンドのテストの際に Peer's Certificate issuer is not recognized. というエラーを受け取った場合には、TLS_CACERTDIR パスが正しく設定されていることを確認してください。以下に例を示します。

   TLS_CACERTDIR /etc/openldap/certs

3. 一時的な回避策として、証明書の検証を無効にすることを検討してください。

   重要

   この設定は、永続的には使用しないでください。

   /etc/openldap/ldap.conf で、TLS_REQCERT パラメーターを allow に設定します。

   TLS_REQCERT allow

   この値を設定した後に ldapsearch クエリーが機能した場合には、証明書トラストが正しく設定されているかどうかを確認する必要があります。

4. nc コマンドを使用して、LDAPS ポート 636 がリモートでアクセス可能であることを確認します。この例では、サーバー addc.lab.local に対してプローブを実行します。ctrl-c を押してプロンプトを終了します。

   # nc -v addc.lab.local 636
   Ncat: Version 6.40 ( http://nmap.org/ncat )
   Ncat: Connected to 192.168.200.10:636.
   ^C

   接続を確立できなかった場合には、ファイアウォールの設定に問題がある可能性があります。