[RESUELTO] Problema de autenticación LDAPS

Preguntas sobre el servidor WAPT / Solicitudes y ayuda relacionadas con el servidor WAPT
Reglas del foro
Reglas del foro de la comunidad
* Soporte en inglés en www.reddit.com/r/wapt
* El soporte de la comunidad en francés está disponible en este foro
* Por favor, anteponga [RESUELTO] al título del tema si está resuelto.
* Por favor, no edite un tema que esté etiquetado como [RESUELTO]. Abra un nuevo tema haciendo referencia al anterior.
* Especifique la versión de WAPT instalada, la versión completa y el número de compilación (2.2.1.11957 / 2.2.2.12337 / etc.), así como la edición Enterprise/Discovery.
* Las versiones 1.8.2 y anteriores ya no son compatibles. Las únicas preguntas aceptadas sobre la versión 1.8.2 están relacionadas con la actualización a una versión compatible (2.1, 2.2, etc.).
* Especifique el sistema operativo del servidor (Linux/Windows) y la versión (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Especifique el sistema operativo de la máquina de administración/creación de paquetes y de la máquina con el agente problemático, si corresponde (Windows 7/10/11/Debian 11/etc.).
* Evite hacer varias preguntas al abrir un tema, ya que podría ser ignorado. Si hay varios temas, ábralos por separado, preferiblemente uno tras otro y no todos a la vez (es decir, no sature el foro con spam).
* Incluya fragmentos de código, capturas de pantalla y otras imágenes directamente en la publicación. Los enlaces a Pastebin, Bitly y otros sitios de terceros serán eliminados sistemáticamente.
* Como en cualquier foro comunitario, el soporte es proporcionado voluntariamente por los miembros. Si necesita soporte comercial, puede comunicarse con el departamento de ventas de Tranquil IT al 02.40.97.57.55.
Bloqueado
Houg
Mensajes: 7
Inscripción: 2 de julio de 2020 - 9:59 AM

2 de julio de 2020 - 10:18

Hola a todos.
Para el cambio a wapt enterprise, actualmente estoy configurando nuestro nuevo servidor (en debian).
Lo único que me queda es la autenticación de consola con LdapS.
Y ahí es donde me quedé atascado... Seguí las instrucciones exactamente...

Autenticación con sesión local: OK
Autenticación LDAP (no S): OK (la solicitud de conexión es claramente visible en el servidor AD)
Autenticación LDAP: no funciona => sin embargo, no hay ninguna solicitud de conexión en el servidor AD.
Sin embargo, en AD, el certificado se instala correctamente con una autoridad conocida.
Para asegurarme, agregué esta autoridad al servidor WAPT. Sin cambios…

Código: Seleccionar todo

sudo cp TERENACA.crt /usr/local/share/ca-certificates
sudo update-ca-certificates
Una conexión telnet en el puerto 636 (ldapS) desde mi servidor wapt a mi servidor AD es funcional.
(Por cierto, eso me recuerda que la documentación indica que el puerto LdapS predeterminado es 646, cuando en realidad es 636) :D )

Aquí está mi waptserver.ini (anónimo):
[opciones]
waptwua_folder = /var/www/waptwua
server_uuid = XXXXXXXXXXX
clients_signing_key = XXXXXXXXXXX
clients_signing_certificate = XXXXXXXXXXX
wapt_password = XXXXXXXXXXX
allow_unauthenticated_connect = False
secret_key = XXXXXXXXXXX
use_kerberos = True
wapt_huey_db = /opt/wapt/db/waptservertasks.sqlite

wapt_admin_group_dn=CN=group,CN=Users,DC=mydomain,DC=fr
ldap_auth_server=myserver.mydomain.fr
ldap_auth_base_dn=OU=mygroup,DC=mydomain,DC=fr
ldap_auth_ssl_enabled=True


Aquí está el resultado de /opt/wapt/runwaptserver.sh-ldebug Durante la identificación:
2020-07-02 10:08:45,001 [waptserver] DEBUG (3174) aceptado ('127.0.0.1', 59294)
2020-07-02 10:08:45,002 [root] DEBUG Usando monserver.mondomaine.fr como servidor ldap de autenticación
2020-07-02 10:08:45,003 [root] DEBUG Usando OU=mongroup,DC=mondomaine,DC=fr como DN base
2020-07-02 10:08:45,003 [root] DEBUG Usando dc monserver.mondomaine.fr para autenticación, con DN base OU=mongroup,DC=mondomaine,DC=fr y nombre de usuario de enlace monlogin@mondomaine.fr
2020-07-02 10:08:45,003 [root] DEBUG Usando ldaps para autenticación
2020-07-02 10:08:45,012 [waptserver] INFO ip.de.mon.AD,127.0.0.1 - - [02/Jul/2020 10:08:45] "POST /api/v3/login HTTP/1.0" 401 324 0.009679
2020-07-02 10:08:47,625 [waptserver] INFO wsgi saliendo
2020-07-02 10:08:47,625 [waptserver] INFO (3174) wsgi salió, is_accepting=True
2020-07-02 10:08:47,625 [waptserver ] INFO Waptserver detenido
Bueno... no soy exactamente un experto en registros, pero en este caso no veo...
La consola no se conecta

Gracias de antemano !!
Alto
Avatar de usuario
Sfonteneau
Experto en WAPT
Mensajes: 2312
Registrado: 10 de julio de 2014 - 23:52
Contacto :
Contacto Sfonteneau

2 de julio de 2020 - 17:10

Puedes hacer una prueba como esta:

Código: Seleccionar todo

apt install ldap-utils
ldapsearch -x -H ldap://srvads.mydomain.lan -Z -D sfonteneau@mydomain.lan -b dc=mydomain,dc=lan -W
Esto le permite realizar una prueba sin pasar por Wapt.

Después del pedido

Código: Seleccionar todo

sudo update-ca-certificates
Su certificado debe estar ubicado en /etc/ssl/certs
Alto
Houg
Mensajes: 7
Inscripción: 2 de julio de 2020 - 9:59 AM

3 de julio de 2020 - 8:32 AM

Buen día,

Como se describe en la publicación, la conexión LDAP está funcionando... Probé diferentes parámetros de ldapsearch antes de publicar en el foro (olvidé mencionar eso).
Entonces esta línea es funcional (una ligera variación para mostrar claramente el puerto indicado):
ldapsearch -x -h srvads.mydomain.lan -Z -D sfonteneau@mydomain.lan -p 389 -b dc=mydomain,dc=lan -W
Ingrese la contraseña LDAP:
[...]
# resultado de la búsqueda
búsqueda: 3
resultado: 4 Límite de tamaño excedido
[...]

Pero si especifico el puerto 636, ya no es lo mismo.
ldapsearch -x -h srvads.mydomain.lan -Z -D sfonteneau@mydomain.lan -p 636 -b dc=mydomain,dc=lan -W
ldap_start_tls: No se puede contactar con el servidor LDAP (-1)
Introduzca la contraseña de LDAP:
ldap_sasl_bind(SIMPLE): No se puede contactar con el servidor LDAP (-1)
Debo señalar que LdapS es funcional en AD => telnet en el puerto 636 es funcional + la herramienta ldp.exe de Microsoft (a través de otro servidor) también funciona.

En cuanto al certificado, sí, está disponible en /etc/ssl/certs. Además, es una autoridad de certificación pública, por lo que ya está presente por defecto.



EDITAR: Problema resuelto, o mejor dicho, evitado => Especifiqué un Directorio Activo diferente y funciona...
Alto
Bloqueado

Regresar a "Servidor WAPT"


  • Para ir más allá con WAPT