El proyecto OpenLDAP nos provee un cliente LDAP que podemos usar para consultar y modificar nuestros directorios LDAP. El problema nos puede aparecer cuando intentamos consultar un directorio activo: Este requiere SSL para poder conectar y a menudo el certificado está autofirmado. Lo primero será obtener el certificado raíz de la CA que firma el certificado de la comunicación LDAPS. Esto lo podremos hacer como cuento en la entrada anterior, y guardarlo en el fichero /etc/openldap/cacerts/CA/miDirectorioActivo.crt.
Luego crear un fichero de configuración de cliente, /etc/openldap/miDirectorioActivo.conf, personalizado que podría tener siguiente contenido:
# See ldap.conf(5) for details
# This file should be world readable but not world writable.
SIZELIMIT 500
URI ldaps://IP_DOMAIN_CONTROLLER/
BASE DC=miAD,DC=local
TLS_CACERT /etc/openldap/cacerts/CA/miDirectorioActivo.crt
TLS_CACERTDIR /etc/openldap/cacerts/CA
Para que nuestro cliente use esta configuración, ejecutaremos:
export LDAPCONF=/etc/openldap/miDirectorioActivo.conf
...y ya podremos lanzar consultas contra nuestro directorio activo, desde los comandos del cliente OpenLDAP:
ldapsearch -x -H ldaps://IP_DOMAIN_CONTROLLER \
-D "CN=AdminLDAP,DC=miAD,DC=local" \
-w contraseña \
-b "DC=miAD,DC=local"
Esto también nos funcionará para consultar NDS.
No hay comentarios:
Publicar un comentario