تحديد شهادة صحيحة ل LDAPs

المقدمة

يوضح هذا المستند كيفية تحديد الشهادة (الشهادات) الصحيحة لبروتوكول الوصول الآمن إلى الدليل خفيف الوزن (LDAP).

المتطلبات الأساسية

المتطلبات

  

لا توجد متطلبات خاصة لهذا المستند.

  

المكونات المستخدمة

لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.

  

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

يتطلب بروتوكول LDAP الآمن أن يكون مجال نظام الحوسبة الموحدة (UCS) مثبتا على سلسلة الشهادات أو الشهادات الصحيحة كنقطة موثوق بها.

في حالة إعداد شهادة غير صحيحة (أو سلسلة)، أو في حالة عدم وجود شهادة، تفشل المصادقة.

لتحديد ما إذا كان من المحتمل وجود مشكلة في الشهادة (الشهادات).

إذا واجهت مشاكل مع LDAP الآمن، أستخدم تصحيح أخطاء LDAP للتحقق من صحة الشهادات.

[username]
[password]
connect nxos      *(make sure we are on the primary)
debug ldap all
term mon

بعد ذلك، افتح جلسة عمل ثانية وحاول تسجيل الدخول باستخدام بيانات اعتماد LDAP الآمنة الخاصة بك.

تسجل جلسة العمل مع تمكين تصحيح الأخطاء محاولة تسجيل الدخول. في جلسة التسجيل، قم بتشغيل الأمر undebug لإيقاف المزيد من المخرجات.

undebug all

لتحديد ما إذا كانت هناك مشكلة محتملة في الشهادة، راجع إخراج تصحيح الأخطاء لهذه السطور.

2018 Sep 25 10:10:29.144549 ldap: ldap_do_process_tls_resp: (user f-ucsapac-01) - ldap start TLS sent succesfully;         Calling ldap_install_tls
2018 Sep 25 10:10:29.666311 ldap: ldap_do_process_tls_resp: (user f-ucsapac-01) - TLS START failed

في حالة فشل TLS، يتعذر إنشاء اتصال آمن وفشل المصادقة.

لتحديد الشهادة/السلسلة التي يجب إستخدامها.

بمجرد تحديد وجود فشل في تأسيس الاتصال الآمن، حدد الشهادة (الشهادات) الصحيحة التي يجب أن تكون.

أستخدم إيثانليزر لالتقاط الاتصال ثم استخرج الشهادة (أو السلسلة) من الملف.

في جلسة تصحيح الأخطاء الخاصة بك قم بتشغيل الأمر:

ethanalyzer local interface mgmt capture-filter "host <address of controller/load balancer>" limit-captured-frames 100 write volatile:ldap.pcap

بعد ذلك، حاول الدخول مرة أخرى باستخدام بيانات الاعتماد.

بمجرد أن لا ترى أي مخرجات جديدة في جلسة تصحيح الأخطاء، اقتل الالتقاط. الاستخدام (Ctrl + c).

نقل التقاط الحزمة من Fabric Interconnect (FI) باستخدام هذا الأمر:

copy volatile:ldap.pcap tftp:

بمجرد أن يكون لديك ملف ldap.pcap، افتح الملف في Wireshark وابحث عن حزمة تبدأ في تهيئة اتصال TLS.

أنت يستطيع رأيت رسالة مماثل في المعلومة قسم للحزمة، كما هو موضح في الصورة:

Server Hello, Certificate, Certificate Request, Server Hello Done

حدد هذه الحزمة وقم بتمديدها:

Secure Sockets Layer
-->TLSv? Record Layer: Handshake Protocol: Multiple Handshake Messages
---->Handshake Protocol: Certificate
------>Certificates (xxxx bytes)

حدد السطر المعنون الشهادة.

انقر بزر الماوس الأيمن فوق هذا السطر وحدد تصدير وحدات بايت الحزم وحفظ الملف كملف .der.

افتح الشهادة في Windows وانتقل إلى علامة تبويب مسار الشهادة.

هذا يظهر لك المسار الكامل من الجذر شهادة إلى الورقة (نهاية المضيف). قم بما يلي لجميع العقد المدرجة ما عدا الورقة.

Select the node
-->Select 'View Certificate'
---->Select the 'Details' tab

حدد خيار نسخ إلى ملف واتبع معالج تصدير الشهادات (تأكد من إستخدام تنسيق ترميز Base-64).

يؤدي هذا إلى إنشاء ملف .cer لكل عقدة من العقد الموجودة في القائمة عند إكمالها.

افتح هذه الملفات في Notepad، و Notepad++، و Sublime، وما إلى ذلك لعرض الشهادة المجمعة.

لإنشاء السلسلة (إذا كان هناك واحد)، افتح مستند جديد وقم بلصق الشهادة المقسمة للعقدة الأخيرة.

اعمل على زيادة القائمة من خلال لصق كل شهادة مجزأة، وتنتهي مع المرجع المصدق الجذر.

الصق إما المرجع المصدق الجذر (إذا لم تكن هناك سلسلة) أو السلسلة بأكملها التي قمت بتوليدها إلى النقطة الموثوق بها.