红帽全球峰会1.15. 故障排除
1.15.1. 测试 LDAP 连接
使用 ldapsearch 远程对 Active Directory 域控制器执行测试查询。此处成功的结果表示网络连接正常工作,AD DS 服务为 up。在本例中,对端口 636 上的服务器 addc.lab.local 执行测试查询:
# ldapsearch -Z -x -H ldaps://addc.lab.local:636 -D "svc-ldap@lab.local" -W -b "OU=labUsers,DC=lab,DC=local" -s sub "(cn=*)" cn
注意
ldapsearch 是 openldap-clients 软件包的一部分。您可以使用 # yum install openldap-clients来安装它
1.15.2. 测试证书信任配置
如果您在使用 ldapsearch 测试时 收到错误 Peer 的 Certificate issuer 错误,请确认您的 TLS_CACERTDIR 路径已被正确设置。例如:
- /etc/openldap/ldap.conf
TLS_CACERTDIR /etc/openldap/certs
注意
作为临时解决方案,您可能需要考虑禁用证书验证。
此设置不能永久配置 :
- /etc/openldap/ldap.conf
TLS_REQCERT allow
如果在设置这个值后 ldapsearch 查询可以正常工作,您可能需要检查您的证书信任是否正确。
1.15.3. 测试端口访问
使用 nc 检查 LDAPS 端口 636 是否可远程访问。在本例中,针对服务器 addc.lab.local 执行探测。按 ctrl-c 退出提示符。
# nc -v addc.lab.local 636 Ncat: Version 6.40 ( http://nmap.org/ncat ) Ncat: Connected to 192.168.200.10:636. ^C
无法建立连接可能会表示防火墙配置问题。
