CentOS 8 OpenLDAP LDAP クライアント – ldapsearch と証明書信頼設定

CentOS 8 で OpenLDAP クライアントツールを使い、LDAP / LDAPS 接続を確認する手順です。389 Directory Server へ接続する場合でも、ldapsearch などのクライアント操作は OpenLDAP 系ツールを使うことがあります。

この手順は CentOS 8 設定マニュアル の一部として整理しています。

証明書信頼設定

LDAPS で接続する場合は、クライアントがサーバー証明書の CA を信頼できる必要があります。検証環境では TLS_REQCERT allow を使うことがありますが、本番では CA を正しく配置して検証する方が自然です。

cp -a /etc/openldap/ldap.conf /etc/openldap/ldap.conf.bak

cat <<'EOF' >> /etc/openldap/ldap.conf
TLS_CACERT /root/ca.crt
TLS_REQCERT allow
EOF

ldapsearch

ldapsearch -H ldaps://ldap.si1230.com -D "cn=Directory Manager" -W -b dc=si1230,dc=com

よくあるエラー

No such object

result: 32 No such object は、接続や認証ではなく base DN が存在しない場合に出ます。suffix や検索ベースを確認します。

ldapsearch -H ldap://localhost -D "cn=Directory Manager" -W -b dc=si1230,dc=com

Invalid credentials

Invalid credentials (49) は DN またはパスワードが誤っている場合に出ます。bind DN の DN 文字列とパスワードを確認します。

Can not contact LDAP server

Can't contact LDAP server は、名前解決、ポート、firewalld、証明書、プロトコル不一致などで発生します。まず TCP 到達性を確認します。

getent hosts ldap.si1230.com
ss -lntp | grep -E ":389|:636"
openssl s_client -connect ldap.si1230.com:636 -showcerts

LDAP ブラウザ

GUI で確認する場合は Apache Directory Studio などの LDAP ブラウザを使うと、DN の階層や属性を把握しやすくなります。

この手順は CentOS 8 設定マニュアル の一部として整理しています。

Related posts:

CentOS 8 SSSD Linux クライアント – LDAP 認証の基本設定 LDAP クライアント Apache Directory Studio は開発終了なのか CentOS 6 OpenLDAP LDAP サーバー構築 CentOS 7 LDAP サーバー構築 – OpenLDAP の初期設定と TLS CentOS 5 OpenLDAP LDAP サーバー構築 Ubuntu 22.04 OpenLDAP LDAP ユーティリティ – ldapsearch / ldapadd / ldapmodify の使い方 CentOS 7 LDAP クライアント設定 – authconfig と nslcd の LDAPS 接続 CentOS 8 389 Directory Server と Samba – LDAP スキーマ連携の基本 CentOS 8 から CentOS 8 へ公開鍵認証で SSH 接続する CentOS 8 Windows から公開鍵認証で SSH 接続する CentOS 5 LDAP を使用した統合認証 CentOS 5 setup コマンドを使用した LDAP 参照設定