搜索

5.10. Active Directory 集成故障排除

download PDF

如果您在使用 Active Directory 与 OpenStack Identity 集成时遇到错误,您可能需要测试 LDAP 连接或测试证书信任配置。您可能还需要检查是否可以访问 LDAPS 端口。

注意

根据错误类型和位置,只执行此流程中的相关步骤。

流程

  1. 使用 ldapsearch 命令针对 Active Directory 域控制器远程执行测试查询来测试 LDAP 连接。成功结果表示网络连接正常工作,AD DS 服务已启动。在本例中,对端口 636 上的服务器 192.0.2.250 执行测试查询:

    # ldapsearch -Z -x -H ldaps://192.0.2.250:636 -D "cn=openstack,ou=Users,dc=director,dc=example,dc=com" -W -b "ou=Users,dc=director,dc=example,dc=com" -s sub "(memberOf=cn=OSuser,ou=Groups,dc=director,dc=example,dc=com)"
    注意
    • ldapsearchopenldap-clients 软件包的一部分。您可以使用 # dnf install openldap-clients安装它
    • 此命令需要在主机操作系统中找到必要的证书。
  2. 如果您在测试 ldapsearch 命令时 无法识别 Peer's Certificate issuer 错误,请确认您的 TLS_CACERTDIR 路径已被正确设置。例如:

    TLS_CACERTDIR /etc/openldap/certs
  3. 作为临时解决方案,请考虑禁用证书验证。

    重要

    不得永久配置此设置。

    /etc/openldap/ldap.conf 中,设置 TLS_REQCERT 参数 以允许

    TLS_REQCERT allow

    如果在设置这个值后 ldapsearch 查询可以正常工作,您可能需要检查您的证书信任是否正确配置。

  4. 使用 nc 命令检查 LDAPS 端口 636 是否可以被远程访问。在本例中,对服务器 addc.lab.local 执行探测。按 ctrl-c 退出提示符。

    # nc -v addc.lab.local 636
    Ncat: Version 6.40 ( http://nmap.org/ncat )
    Ncat: Connected to 192.168.200.10:636.
    ^C

    不建立连接时可能表示防火墙配置问题。

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.