Directory Services configureren met het LDAP-protocol

U kunt de werkplek Verificatie (Authentication) gebruiken om Directory Services voor Automation Config te configureren met behulp van het LDAP-protocol. Dit protocol wordt gebruikt voor het verbinden met services zoals Active Directory of Microsoft Azure.

VMware Cloud Services Platform (CSP) biedt een LDAP-integratie voor elke SaaS-productklant die verbinding moet maken met services zoals Active Directory of Microsoft Azure. Raadpleeg de handleiding Enterprise Federation instellen met VMware Cloud Services voor stappen voor het verbinden van uw instantie van Automation Config met een LDAP-server.

Opmerking: U kunt meer dan één systeem tegelijk gebruiken om zo nodig gebruikers in Automation Config verifiëren. U kunt bijvoorbeeld zowel een op SAML gebaseerde IdP als een op LDAP gebaseerde IdP gebruiken en tegelijkertijd bepaalde verificatiegegevens van gebruikers standaard opslaan op de RaaS-server. Automation Config staat echter niet toe dat er meer dan twee SAML-providers of twee LDAP-providers tegelijkertijd worden geconfigureerd.

Automation Config gebruikt het volgende backendproces om LDAP-gebaseerde systemen te verifiëren:

Voorbeeld - Wanneer u een voorbeeld van uw verbindingsinstellingen bekijkt, haalt Automation Config een lijst met gebruikers en groepen op van uw LDAP-server zodat u kunt controleren of u de juiste configuratieparameters heeft ingevoerd.
Aanmelding - Wanneer een gebruiker verificatiegegevens invoert op het Automation Config-aanmeldingsformulier, controleert de backendserver op dat moment of er een overeenkomst is in de database. Vervolgens wordt een opzoekproces gestart met meerdere stappen en wordt de gebruiker geverifieerd wanneer een overeenkomst is gevonden. Gezien dit opzoekproces worden ingeschakelde individuele gebruikers in ingeschakelde groepen pas in de werkplek Rollen (Roles) weergegeven nadat ze zich een eerste keer hebben aangemeld.
Achtergrondtaken - Automation Config voert regelmatig een achtergrondopdracht uit om elke gekoppelde groep en gebruiker in de Directory Service-verbinding op te zoeken om er zeker van te zijn dat deze nog bestaat. Als de groep of gebruiker is verwijderd, deactiveert de backendserver de link in de database.
Gearchiveerde groepen en gebruikers - Groepen die u uit uw Directory Service-verbinding verwijdert, worden gearchiveerd. Hoewel deze groepen inactief zijn en gebruikers zich niet kunnen aanmelden, zijn ze nog steeds zichtbaar in de werkplek Rollen (Roles) en kunnen ze worden geselecteerd. Dit is ook van toepassing op verwijderde gebruikers die voorheen zichtbaar waren in de werkplek Rollen (Roles).
Geneste groepen - Wanneer u met geneste groepen werkt, schakelt u door een bovenliggende groep in te schakelen standaard ook alle onderliggende groepen in.

Een LDAP-verbinding configureren

Om LDAP te configureren, maakt u eerst een verbinding en schakelt u vervolgens specifieke LDAP-gebruikers en -groepen in om zich bij Automation Config te verifiëren. Wanneer u groepen of gebruikers heeft ingeschakeld, kunt u hun instellingen voor toegangscontrole op basis van rollen (RBAC) definiëren.

U kunt ervoor kiezen om de velden vooraf in te vullen met standaardinstellingen die zijn aangepast aan uw Directory Service, zoals Active Directory of OpenLDAP.

Opmerking: De volgende stappen moeten worden voltooid door een ervaren LDAP- of Active Directory-beheerder die de algemene systeemlay-out van LDAP begrijpt. Neem voor hulp contact op met uw beheerder.

Een LDAP Directory Service instellen:

(Optioneel) Voordat u LDAP configureert, is het wellicht handig om uw verbinding en query's te testen met een tool van derden. AD-gebruikers kunnen LDP of ADSI Edit gebruiken. Voor Linux-gebruikers is ldapsearch de aanbevolen tool.
Opmerking: Zie Hoe een Directory Service-verbinding controleren en problemen oplossen in Help en ondersteuning voor meer informatie over het testen met deze tools.
Klik Beheer > Verificatie (Administration > Authentication) in het zijmenu.
Klik op Maken.
Selecteer de optie LDAP in het menu Configuratietype (Configuration Type).
(Optioneel) Klik onder Instellingen (Settings) op Vooraf invullen (Prefill) en selecteer uw Directory Service uit de vervolgkeuzelijst.
De standaardwaarden worden automatisch ingevuld op basis van uw selectie. Bepaalde vermeldingen, zoals een DN voor een zoekopdracht voor gebruikers (User Search DN) zijn echter niet compleet. Controleer of de vermeldingen overeenkomen met de planning van uw Directory Service en vervang de tekst van de tijdelijke aanduiding door de juiste waarden voor uw service.

Voer de informatie voor uw LDAP-verbinding in of verifieer deze.

Algemeen


Veld	Beschrijving
Naam	Naam van de LDAP-verbinding. Aangezien dit een schermnaam is, is het gebruik van een naam handig om deze verificatiebackend te onderscheiden van andere.
Host	LDAP-hostserveradres, opgemaakt als FQDN of IP-adres.
Poort	Poort waarop de LDAP-server is geconfigureerd. De standaardwaarde is `389` voor niet-versleutelde LDAP en `636` voor LDAP via SSL.
Achtergrondsynchronisatie (Background Sync)	Automation Config valideert alle gebruikers en groepen bij de verificatiebackend met een ingesteld interval dat hier is gedefinieerd (in minuten).
SSL	SSL inschakelen (Enable SSL) Selecteer dit om via een Secure Sockets Layer (SSL) verbinding te maken met de LDAP-server. Het is een best practice om deze optie in te schakelen. Als u deze niet inschakelt, kan dit ertoe leiden dat Automation Config informatie in platte tekst via een onveilige verbinding verzendt. Standaard wordt het certificaat van de LDAP-server gevalideerd met behulp van het archief met systeemcertificaten. Als u een zelfondertekend certificaat of een certificaat van een privécertificaatautoriteit (CA) gebruikt op de LDAP-server, moet u de configuratie van `/etc/raas/raas` bijwerken om verificatie mogelijk te maken. Zie de instructies voor Een zelfondertekende of privécertificaatautoriteit configureren voor meer informatie. Certificaat valideren (Validate Certificate) Selecteer deze optie om ervoor te zorgen dat de SSL-certificaten worden gevalideerd bij het verbinden. Selecteer de optie niet als u validatie wilt overslaan, bijvoorbeeld wanneer u zelfondertekende certificaten gebruikt (niet aanbevolen voor productie).

Verificatie


Veld	Beschrijving
Base DN voor verificatie (Auth Base DN)	Base DN voor LDAP. Dit is de locatie vanwaar query's voor groepen en gebruikers worden uitgevoerd, bijvoorbeeld `DC=sse,DC=example,DC=com`. Opmerking: De pagina met LDAP-gegevens bevat afzonderlijke invoervelden voor de objectklasse van de persoon, de kenmerknaam voor het account, de groepsklasse, de kenmerknaam voor de groep en de synchronisatieplanning zoals hieronder beschreven. Neem deze objecten daarom niet op in het veld Base DN.
Bind DN voor beheerder (Admin Bind DN)	Beheerder-DN die is geconfigureerd voor de LDAP-server. Automation Config gebruikt deze om de directory te verifiëren voor opzoekingen van gebruikers en groepen. Voer invoer in op basis van de volgende syntaxis: `cn=Administrator,cn=Users,dc=example,dc=com`.
Wachtwoord van Bind DN voor beheerder (Admin Bind DN Password)	Het individuele wachtwoord van de beheerder. Dit wordt versleuteld opgeslagen in de database. Het wordt niet als platte tekst opgeslagen.
Filter van Bind DN voor verificatie (Auth Bind DN Filter)	Filter dat wordt toegepast om een specifieke gebruiker te selecteren. Het resultaat van deze zoekopdracht is een gebruikers-DN die door Automation Config wordt gebruikt om te binden met de directory en de gebruiker toegang tot Automation Config te verlenen. Dit is handig om het aantal resultaten te beperken dat wordt geretourneerd voor een bepaalde zoekopdracht. Opmerking: Omdat de filtersyntaxis best complex kan worden, wordt u aanbevolen de vermelding te testen met LDP, `ldapsearch`, of een soortgelijke tool om uw vermelding te valideren en wijzigingen aan te brengen voordat dit veld wordt gevuld. Het volgende voorbeeldfilter retourneert alleen een account dat overeenkomt met de opgegeven gebruikersnaam die deel uitmaakt van de groepen DevOps of Niveau II (Level II). (&(objectclass=user)(sAMAccountName={username})(\|(memberOf=CN=DevOps,OU=Groups,OU=TestCompanyHQ,DC=adtest,DC=com)(memberOf=LevelII,OU=Groups,DC=adtest,DC=com))) Als u vooraf ingevulde standaardwaarden gebruikt, moet u de tekst van de tijdelijke aanduiding vervangen door de juiste waarden voor uw Directory Service. Opmerking: Wanneer u een foreststructuur configureert, laat u dit veld leeg.
Kenmerknaam van externe unieke id (Remote Unique ID Attribute Name)	Naam van de waarde die wordt gebruikt om unieke vermeldingen te identificeren. Dit is het kenmerk van de unieke id voor alle vermeldingen. In AD is dit `ObjectGUID`.

Groepen


Veld	Beschrijving
DN voor zoekopdracht naar groepen (Group Search DN)	De zoekbasis voor groepen. In AD kan dit bijvoorbeeld `cn=Groups,dc=example,dc=com` zijn. Geeft aan waar in de directory naar groepen moet worden gezocht. Gebruik dit samen met Zoekbereik voor groepen (Group Search Scope) hieronder.
Zoekbereik voor groepen (Group Search Scope)	Geeft de zoekdiepte in de directory aan vanaf de basis die is aangegeven in DN voor zoekopdracht naar groepen (Group Search DN) en kan een van vier waarden hebben: `baseObject` Waarde 0, vaak aangeduid als `base`. U kunt deze gebruiken om alleen naar dit object en geen andere te zoeken. `singleLevel` Waarde 1, vaak aangeduid als `one`. Gebruik deze om alleen direct onderliggende elementen van de basisvermelding te overwegen voor overeenkomsten. `wholeSubtree` Waarde 2 (of `SUBTREE` in ldap3), vaak aangeduid als `sub`. Gebruik deze om te zoeken in de basis en alle ondergeschikte niveaus, ongeacht de diepte. `subordinateSubtree` Waarde 3, vaak aangeduid als `subordinates`. Deze is hetzelfde als `wholeSubtree` maar de vermelding voor basiszoekopdracht wordt genegeerd.
DN-filter voor zoekopdracht naar groepen (Group Search DN Filter)	Zoekfilter om groepen uit de directory te halen. Dit is doorgaans `(objectClass=group)`, maar in sommige AD-configuraties kan dit `(objectCategory=group)` zijn. Gebruik dit als aanvulling op Groepsklasse (Group Class) voor meer details.
Groepklasse (Group Class)	Naam van de objectklasse die wordt gebruikt om groepen te definiëren, bijvoorbeeld `groupOfNames`.
Kenmerk van groepsnaam (Group Name Attribute)	De naam van het kenmerk dat u wilt gebruiken voor de groepsnaam. Voer een kenmerk met één waarde in, en niet met meerdere waarden.
Kenmerk van groepslidmaatschap (Group Membership Attribute)	De naam van het kenmerk in de gebruikersinvoer dat de groepsnaam bevat, bijvoorbeeld `memberOf`.

Gebruikers


Veld	Beschrijving
DN van zoekopdracht voor gebruikers (User Search DN)	De zoekbasis voor gebruikers, bijvoorbeeld `cn=Users,dc=example,dc=com` in AD of `cn=people,cn=accounts,dc=example,dc=com` in andere Directory Services. Geeft aan waar in de directory naar gebruikers moet worden gezocht. Gebruik dit samen met Zoekbereik voor gebruikers (User Search Scope) hieronder.
Zoekbereik voor gebruikers (User Search Scope)	Geeft de zoekdiepte van de directory aan vanaf de basis die is aangegeven in DN van zoekopdracht voor gebruikers (User Search DN) en kan een van vier waarden hebben. Zie de vier waarden die worden beschreven bij Zoekbereik voor groepen (Group Search Scope).
DN-filter voor zoekopdracht naar groepen (User Search DN Filter)	Zoekfilter om gebruikers uit de directory te halen. Dit is doorgaans `(objectClass=person)`, maar in sommige AD-configuraties kan dit `(objectCategory=user)` zijn.
Persoonsklasse (Person Class)	De klassenaam van de Directory Service met gebruikers die u wilt toestaan om zich aan te melden. De meeste systemen (inclusief Active Directory) maken gebruik van `person`, maar sommige geven de voorkeur aan `user` of `inetOrgPerson`.
Kenmerk van gebruikers-id (User ID Attribute)	De unieke naam van het gebruikersaccountkenmerk. Voor AD is dit `sAMAccountName`. Voor andere services is dit vaak `uid` of `memberUid`.
Kenmerk van gebruikerslidmaatschap (User Membership Attribute)	De naam van het kenmerk in de groepsvermelding dat de gebruikersnaam bevat. Mogelijke voorbeelden zijn `member` en `uniquemember`.

Als u een voorbeeld van uw instellingen wilt bekijken zonder deze op te slaan, klikt u op Voorbeeld bijwerken (Update Preview).
In het voorbeeldvenster ziet u gebruikers en groepen die voor uw verbinding zijn geselecteerd. U kunt het tabblad Groepen (Groups) of Gebruikers (Users) selecteren om een voorbeeld te bekijken van gebruikers en groepen die zo nodig aan de service zijn gekoppeld.
Klik op Opslaan.
Uw LDAP-configuratie is opgeslagen. Om te controleren of de configuratie correct is, kunt u proberen om u bij Automation Config aan te melden vanaf een testgebruikersaccount. Zie Problemen oplossen voor tips als u zich niet kunt aanmelden.

Opmerking: Voor LDAP-configuraties slaat Automation Config de verbindingsinstellingen op, inclusief de groepen en gebruikers die zijn geïdentificeerd. Er worden alleen groepen en gebruikers opgehaald binnen het bereik dat u heeft gedefinieerd en niet de volledige directory wordt gesynchroniseerd.
Na enige tijd moet u uw LDAP-directory mogelijk vernieuwen of opnieuw synchroniseren. U moet bijvoorbeeld uw directory bijwerken als u nieuwe gebruikers heeft toegevoegd en u ze wilt inschakelen in Automation Config.

Groepen en gebruikers inschakelen

Nadat u uw LDAP-verbinding heeft ingesteld, moet u de Directory Service-groepen configureren en ervoor zorgen dat gebruikers zich bij Automation Config kunnen aanmelden. Directory Service-groepen configureren:

Selecteer de vereiste LDAP-configuratie in de werkplek Verificatie (Authentication).
Selecteer het tabblad Groepen (Groups) om een lijst met groepen te bekijken die zijn opgehaald uit uw LDAP-configuratie.
Opmerking: Als u een groot aantal groepen ophaalt, kan het tot een minuut duren om de pagina te laden.
Selecteer de groepen die u in Automation Config wilt inschakelen.
Selecteer het tabblad Gebruikers (Users) om een lijst met gebruikers te zien die zijn opgehaald uit uw LDAP-configuratie.
Opmerking: Als u een groot aantal gebruikers ophaalt, kan het tot een minuut duren om de pagina te laden.
Selecteer de gebruikers die u wilt inschakelen in Automation Config.
Opmerking: Alle gebruikers die zijn opgenomen in ingeschakelde groepen, zijn al geselecteerd en kunnen niet worden gedeselecteerd.
Klik op Opslaan.
U kunt nu instellingen voor op rollen gebaseerde toegangscontrole (RBAC) definiëren voor de geselecteerde groepen. Met de werkplek Rollen (Roles) kunt u instellingen voor individuele gebruikers die in de geselecteerde groepen zijn opgenomen, alleen beheren na de eerste aanmelding van de gebruiker. Als u groepen of gebruikers wilt verwijderen, heft u de selectie van de groep of gebruiker op en klikt u vervolgens op Opslaan.
Raadpleeg Hoe definieer ik gebruikersrollen voor meer informatie over RBAC in Automation Config.

Problemen met uw LDAP-verbinding oplossen

Volg deze stappen voor probleemoplossing als u geen voorbeeld van uw verbinding kunt bekijken.


Probleem	Beschrijving	Oplossing
Ik kan geen voorbeeld bekijken van mijn verbinding	Als u geen voorbeeld kunt bekijken van uw groepen en gebruikers, wordt dit in veel gevallen veroorzaakt door een verbindingsprobleem tussen uw LDAP-server en Automation Config, of een ongeldige vermelding in het LDAP-configuratieformulier.	Zorg ervoor dat TCP-verbindingen van Automation Config naar de geselecteerde poort op de LDAP-server zijn toegestaan. Controleer zorgvuldig de formuliervermeldingen en valideer de syntaxis met een tool van derden. Zie Hoe een Directory Service-verbinding controleren en problemen oplossen. Zie onderstaande sectie Andere problemen als u het probleem niet kunt oplossen met een van de vorige items. Als geen van de bovenstaande items helpt, neemt u contact op met support.
Wanneer u probeert een voorbeeld te bekijken van uw verbinding, loopt de pagina vast tijdens het laden	Als de pagina meer dan twee minuten vastloopt bij het laden, start u de RaaS-service opnieuw en maakt u de configuratie vervolgens opnieuw.	Open het RaaS-logboek. tail -f /var/log/raas/raas Het logboek bevat een fout die er ongeveer zo uitziet: [ERROR :256][ForkPoolWorker-2:10253][ldap_preview_background_task(some_uuid)] Task ldap preview_background_task[some_uuid]raised unexpected: KeyError('ad-1_preview') Stop en start vervolgens de RaaS-service opnieuw. systemctl stop raas systemctl start raas Ga terug naar de gebruikersinterface van Automation Config en verwijder de LDAP-verbinding. Opmerking: Mogelijk wilt u uw configuratievermeldingen kopiëren en plakken in een back-uptekstbestand voordat u ze verwijdert. Maak de LDAP-configuratie opnieuw.
Andere diverse problemen	Als u uw LDAP-verbinding al heeft geconfigureerd en opgeslagen, maar gebruikers zich niet kunnen aanmelden, of als u andere problemen ondervindt, controleert u de `raas`-logboeken met uitgebreide foutopsporing ingeschakeld om u te helpen bij het bepalen van de hoofdoorzaak.	Uitgebreide foutopsporing inschakelen: Open `/etc/raas/raas` in RaaS. Breng de volgende wijzigingen aan: Schakel `log_file_loglevel:debug` in als code onder `Loggingoptions`. Schakel `log_level` in als code en stel deze in op `log_level:EXTENDED` onder `AD/LDAPdriverconfiguration`. Stop en start vervolgens de RaaS-service opnieuw. systemctl stop raas systemctl start raas Bekijk het `raas`-logboek. tail -f /var/log/raas/raas

In de logboeken kunt u sommige veelvoorkomende fouten zien, zoals:

Verkeerde instellingen voor verbinding (SSL). Pas uw SSL-instellingen aan.

[raas.utils.validation.schemas.settings][DEBUG   :546 ][Webserver:9096]
Error while connecting to AD/LDAP Server. SSL connection issues: socket
ssl wrapping error: [Errno 104] Connection reset by peer

Verkeerd wachtwoord voor Bind DN van beheerder. Controleer en voer uw wachtwoord opnieuw in.

[raas.utils.rpc   ][DEBUG   :284 ][Webserver:9095]
Processed RPC request(129360670417695). Response:
{'riq': 129360670417695, 'ret': None, 'error': {'code': 3004, 'message':
'Request validation failure.', 'detail': {'_schema':
['Credentials are not valid']}}, 'warnings': []}

Het vooraf ingevulde standaard Filter van Bind DN voor verificatie (Auth Bind DN Filter) veroorzaakt een conflict. Laat het veld leeg of gebruik {username} in plaats van {{username}}.

Opmerking:

U kunt deze fout ondervinden wanneer u uw LDAP-verbinding al heeft opgeslagen, maar gebruikers zich niet kunnen aanmelden.

[var.tmp._MEIBCyG76.raas.mods.auth.ldap][DEBUG   :903 ][Webserver:9096]
Running _get_auth_backend_user with this search_filter: (&(objectclass=person)(sAMAccountName={username}))

[var.tmp._MEIBCyG76.raas.mods.auth.ldap][DEBUG   :931 ][Webserver:9096]
Could not find any user using '(&(objectclass=person)(sAMAccountName={username}))'
as the search filter in the ldap backend under the ad-1 configuration.
Trying remote_uid 'None'

[var.tmp._MEIBCyG76.raas.mods.auth.ldap][DEBUG   :963 ][Webserver:9096]
Could not find any user using '(&(objectClass=person)(objectGUID=None))'
as the search filter in the ldap backend under the ad-1 configuration.

Een zelfondertekende of privécertificaatautoriteit configureren

Automation Config ondersteunt Active Directory (AD) en LDAP als verificatiebron. De aanbevolen beveiligingsprocedure is dat de communicatie tussen Automation Config en AD/LDAP via een met TLS versleuteld kanaal gaat. Verbinding maken met een AD/LDAP-server met een vertrouwd certificaat van derden wordt standaard ondersteund, maar als er een privé of zelfondertekende CA in gebruik is, moet u Automation Config naar de juiste CA-vertrouwensketen leiden.

Opmerking: Hoewel het mogelijk is om certificaatverificatie te deactiveren in de Automation Config-interface bij het definiëren van een LDAP-verificatiebron, wordt deze werkwijze sterk afgeraden vanwege het risico op man-in-the-middle-aanvallen. Deze kan echter effectief zijn als stap voor probleemoplossing om te valideren of TLS in gebruik is voordat de CA-keten wordt geïnstalleerd.

Voor deze procedure zijn een of meer PEM-gecodeerde certificaten van de certificaatautoriteit vereist. Er kunnen er meer zijn dan één, als uw organisatie gebruikmaakt van tussenliggende ondertekeningsautoriteiten. Een PEM-gecodeerd certificaat ziet er als volgt uit:

-----BEGIN CERTIFICATE-----
MIIGWzCCBUOgAwIBAgITfQAAAAJtLSuD8EkA/gAAAAAAAjANBgkqhkiG9w0BAQsF
[...bulk of certificate removed in this example...yours will
 have different content between the BEGIN and END lines...]
KqUEt+CIdecfc36aMgxWE8NdDf4/lj6FcuxdXHL+0ea5AySDxLbwWU6AsrRGJ3E=
-----END CERTIFICATE-----

Procedure

Voer alle certificaten in de keten in één.pem-bestand in.
Kopieer dat bestand naar /etc/raas/raas-ca-certificates.pem .

Voer dit commando uit om het bestand leesbaar te maken voor de raas-gebruiker:

chown raas:raas /etc/raas/raas-ca-certificates.pem
chmod 600 /etc/raas/raas-ca-certificates.pem

Bewerk de configuratiesectie voor het AD/LDAP-stuurprogramma van /etc/raas/raas om de volgende inhoud toe te voegen onder authers:. Als er al een sectie authers aanwezig is, moet u deze mogelijk samenvoegen met deze opties om een eventuele aanvullende LDAP-configuratie te behouden, omdat er niet meer dan één instantie van authers: kan zijn. De opmerkingen zijn hier ter verduidelijking opgenomen.

# AD/LDAP driver configuration
 
# Allowed LDAP log levels for "log_detail" below
# - OFF       # nothing is logged
# - ERROR     # only exceptions are logged
# - BASIC     # library activity is logged, only operation result is shown
# - PROTOCOL  # LDAPv3 operations are logged, sent requests and received responses are shown
# - NETWORK   # socket activity is logged
# - EXTENDED  # ldap messages are decoded and properly printed
 
authers:
  ldap:
    log_detail: EXTENDED
    ssl:
      ciphers: TLSv1.2
      ca_cert: /etc/raas/raas-ca-certificates.pem

Opmerking: Als log_detail: EXTENDED na een succesvolle verificatie te veel inhoud in /var/log/raas/raas genereert, kan deze waarde worden gewijzigd in ERROR of BASIC .

Herstart de Automation Config-server met systemctl restart raas. Valideer dat de server een back-up is en wordt uitgevoerd met systemctl status raas.
Ga vanuit de Automation Config-GUI naar Beheer > Verificatie en selecteer de gewenste LDAP-configuratie. Zorg ervoor dat de FQDN in het veld Host degene is die wordt vermeld in de velden met de algemene naam of alternatieve naam van het onderwerp in het certificaat, voorgesteld door de AD/LDAP-server. Als ze niet overeenkomen, kan Automation Config het certificaat niet valideren voor de CA-vertrouwensketen.
Bevestig de waarde in het veld Poort. De officiële poort voor LDAP met TLS ingeschakeld is 636, maar als u verbinding maakt met Active Directory en gebruikers en groepen in de globale catalogus moet opzoeken, is 3269 de voor TLS ingeschakelde poort.
Schakel zowel de selectievakjes SSL inschakelen als Certificaat valideren in, blader naar de onderkant van het formulier en klik op Opslaan.
U kunt nu de verbinding testen met de knop Voorbeeld bijwerken onderaan het formulier. Als groepen en gebruikers in het voorbeeldvenster worden weergegeven, is TLS correct ingesteld en worden de certificaten gevalideerd.

Problemen oplossen

Als u deze stappen uitvoert en een laadsymbool krijgt nadat u op Voorbeeld bijwerken heeft geklikt, voltooit u de volgende stappen voor probleemoplossing totdat u groepen en gebruikers ziet.

Controleer de logboeken in /var/log/raas/raas. Als de LDAP/AD-server niet bereikbaar is of er certificaatvalidatieproblemen zijn, worden deze in het logboek weergegeven. Het kan nuttig zijn om de Automation Config-server met systemctl stop raas te stoppen en /var/log/raas/raas af te kappen en vervolgens tail -f of een soortgelijk commando te gebruiken om het logboek te volgen terwijl u de LDAP-voorbeeldfunctie test.

De CA-vertrouwensketen is mogelijk niet juist. U kunt certificaatgegevens van de AD/LDAP-server ophalen met de hulpprogramma's voor de openssl-commandoregel:

openssl s_client -connect <fqdn.of.ldap.or.ad.server>:636 -showcerts

De vertrouwensketen is in de resultaten van dit commando en ziet er als volgt uit (waarbij de door <...> gescheiden secties worden vervangen door werkelijke gegevens):

---
Certificate chain
 0 s:CN = <fqdn.of.ldap.or.ad.server.example.com>
   i:<DC = com, DC = fqdn, DC = subdomain, CN = common-name-of-CA-certificate>
-----BEGIN CERTIFICATE-----
MIIGWzCCBUOgAwIBAgITfQAAAAJtLSuD8EkA/gAAAAAAAjANBgkqhkiG9w0BAQsF
[... rest of server certificate is below ...]

Gebruik het commando openssl om informatie over de CA-vertrouwensketencertificaten op te halen om te controleren of het CA-certificaat overeenkomt met de keten in het LDAP-servercertificaat. Als u meer dan één certificaat in de keten heeft, moet u ze mogelijk in afzonderlijke bestanden opsplitsen en het volgende commando op elk bestand uitvoeren.

# openssl x509 -noout -text -in /etc/raas/raas-ca-certificates.pem
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            2f:51:9b:4a:90:23:50:8a:40:58:41:c4:a6:67:08:d7
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: <DC = com, DC = fqdn, DC = subdomain, CN = common-name-of-CA-certificate>
        Validity
            Not Before: Sep 29 19:48:39 2023 GMT
            Not After : Sep 29 19:58:39 2028 GMT
        Subject: <DC = com, DC = fqdn, DC = subdomain, CN = common-name-of-CA-certificate>
[...]

Als het onderwerp en/of de uitgever hierboven niet overeenkomen met de DN-namen in de certificaatketen van het LDAP-servercertificaat, beschikt u waarschijnlijk niet over de juiste keten.