ubuntu 20.04 + sanba-ad-dc + iredmail

[morii]

Всем привет! С linux`ами по принуждению, но я рад, мне нравится.

Установлены 2 тестовые убунты 20.04  (dc1; dc2) с самба-ад-дс + isp-dhcp-server = реплика GPO, DNS, AD работает отлично.

Так же на убунте 22.04 развёрнут тестовый почтовый сервер iRedMail (mail) с OpenLDAP.

на dc1 файл /etc/samba/smb.conf выглядит вот так:

Код: [Выделить]

#####
# Global parameters
[global]
        netbios name = DC1
        realm = NEW.LOCAL
        server role = active directory domain controller
        server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate
        workgroup = NEW
        idmap_ldb:use rfc2307 = yes
        ldap server require strong auth = yes
        tls enabled  = yes
        tls keyfile  = tls/dc1.new.local.key
        tls certfile = tls/dc1.new.local.crt
        tls cafile   = tls/rootCA.crt

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No

[netlogon]
        path = /var/lib/samba/sysvol/new.local/scripts
        read only = No
#####
на dc созданы DNS-зоны для mail.new.local и создан тестовый пользователь vmail

с хоста mail пытаюсь проверить ldaps:

Код: [Выделить]

romang@mail:~$ ldapsearch -x -H ldaps://new.local -D 'vmail' -W -b 'cn=users,dc=new,dc=local'
Enter LDAP Password:
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)

####
roman@dc1:~$ ldapsearch -x -H ldaps://localhost -D 'vmail' -W -b 'cn=users,dc=new,dc=local'
Enter LDAP Password:
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)

####
roman@dc1:~$ ldapsearch -x -H ldaps://localhost -D 'vmail' -W -b 'cn=users,dc=new,dc=local'
Enter LDAP Password:
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
Куда ещё посмотреть не понимаю. Прошу обратных связей, коллеги.

[bezbo]

realm = NEW.LOCAL

не используйте .LOCAL он зарезервирован для другого сервиса, попробуйте .LOC, .TLD и т.д.

[sixold]

Есть несколько вещей, которые вы можете проверить. Во-первых, убедитесь, что сервер LDAP запущен и доступен с хоста, на котором вы пытаетесь установить соединение ldaps. Дважды проверьте сетевое подключение и настройки брандмауэра, чтобы убедиться, что необходимые порты открыты.

[morii]

не используйте .LOCAL он зарезервирован для другого сервиса, попробуйте .LOC, .TLD и т.д.

Та же петрушка:

# Global parameters
[global]
        netbios name = DC01
        realm = LC.LAN
        server role = active directory domain controller
        server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate
        workgroup = LC
        idmap_ldb:use rfc2307 = yes
        ldap server require strong auth = yes
        tls enabled  = yes
        tls keyfile  = tls/dc01.lc.lan.key
        tls certfile = tls/dc01.lc.lan.crt
        tls cafile   = tls/rootCA.crt

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No

[netlogon]
        path = /var/lib/samba/sysvol/lc.lan/scripts
        read only = No



####

roman@dc01:~$ ldapsearch -x -H ldap://dc01.lc.lan -D 'vmail' -W -b 'cn=users,dc=lc,dc=lan'                      Enter LDAP Password:
ldap_bind: Strong(er) authentication required (
        additional info: BindSimple: Transport encryption required.
roman@dc01:~$ ldapsearch -x -H ldaps://dc01.lc.lan -D 'vmail' -W -b 'cn=users,dc=lc,dc=lan'
Enter LDAP Password:
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
roman@dc01:~$ netstat -tulpn | grep 636
(Not all processes could be identified, non-owned process info
 will not be shown, you would have to be root to see it all.)
tcp        0      0 0.0.0.0:636             0.0.0.0:*               LISTEN      -
tcp6       0      0 :::636                  :::*                    LISTEN      -
roman@dc01:~$

####
Пользователь добавил сообщение 26 Апреля 2024, 15:21:34:

Есть несколько вещей, которые вы можете проверить. Во-первых, убедитесь, что сервер LDAP запущен и доступен с хоста, на котором вы пытаетесь установить соединение ldaps. Дважды проверьте сетевое подключение и настройки брандмауэра, чтобы убедиться, что необходимые порты открыты.

romang@mail:~$ telnet dc01 636
Trying 10.10.1.150...
Connected to dc01.lc.lan.
Escape character is '^]'.



 И я использую скрипт для DHCP https://gist.github.com/rsyuzyov/a7509016cb7bc0a6e3bfea99d88c9c72

в нём затронут LDAP. Т.к. сам пока плохо понимаю linux`ы, не имею внятного ответа по этому поводу.

В нём есть строки

Код: [Выделить]

Computer_Object=$(ldbsearch "$KTYPE" -H ldap://"$Server" "(&(objectclass=computer)(objectclass=ieee802Device)(cn=$name))" | grep -v '#' | grep -v 'ref:')
if [ -z "$Computer_Object"

[AnrDaemon]

1. ldaps
Текст ошибки прямо говорит, что выбранный уровень безопасности недостаточен для успешной авторизации.
Вы хотя бы гуглите текст ошибки, прежде чем на форум идти.

[morii]

Вы хотя бы гуглите текст ошибки, прежде чем на форум идти.

 Если почитать ниже, то видно вот это:

Код: [Выделить]

roman@dc01:~$ ldapsearch -x -H ldaps://dc01.lc.lan -D 'vmail' -W -b 'cn=users,dc=lc,dc=lan'
Enter LDAP Password:
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)

[bezbo]

Попробуйте по этому шаблону:
Encrypted Active Directory
ldapsearch -H ldaps://blue.windom.lab.services.microfocus.com:636 -x -D "cn=Administrator,cn=users,DC=windom,DC=lab,DC=services,DC=microfocus,DC=com" -w password -b "CN=Users,DC=windom,DC=lab,DC=services,DC=microfocus,DC=com" -s sub -a always "(objectClass=User)" cn

[morii]

ldapsearch -H ldaps://blue.windom.lab.services.microfocus.com:636 -x -D "cn=Administrator,cn=users,DC=windom,DC=lab,DC=services,DC=microfocus,DC=com" -w password -b "CN=Users,DC=windom,DC=lab,DC=services,DC=microfocus,DC=com" -s sub -a always "(objectClass=User)" cn

 Тоже самое:

Код: [Выделить]

roman@dc01:~$ ldapsearch -H ldaps://lc.lan:636 -x -D "cn=Administrator,cn=users,DC=lc,DC=lan" -w '!M@ver1c-01' -b "CN=Users,DC=lc,DC=lan" -s sub -a always "(objectClass=User)" cn
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)

 Может ещё какие-то данные нужны для большего понимания?

[AnrDaemon]

Логи LDAP нужны для лучшего понимания.