DSpace LDAP Bağlantısı ve Yapılandırmasında Hata ayıklama

Açık Erişim DSpace LDAP Bağlantısı

DSpace LDAP bağlantısı ve yapılandırmasında hata ayıklama (Debugging DSpace LDAP Connection and Configuration)

Her LDAP farklı olduğundan, DSpace'inizi LDAP'nizle iletişim kuracak şekilde yapılandırmak bazen zor olabilir. LDAP bağlantınızı / kullanıcı adınızı / şifrenizi test etmek için üçüncü taraf LDAP araçlarını kullanmanızı ve yerel LDAP'nizden hangi bilgilerin döndürüldüğünü daha iyi anlamak için örnek aramalar yapmanızı öneririz. Bu, LDAP yapılandırmasının daha sorunsuz geçmesini sağlar.

Böyle bir LDAP aracının bir örneği, çoğu Linux işletim sisteminde bulunan ldapsearch komut satırı aracıdır (örneğin Debian / Ubuntu'da "ldap-utils" paketinde bulunur). Aşağıda, authentication-ldap.cfg dosyanızdaki belirli yapılandırmaları belirlemek (ve / veya hata ayıklamak) için kullanılabilecek bazı örnek ldapsearch komutları bulunmaktadır. Aşağıdaki örneklerde, yer tutucu olarak (köşeli parantez içinde) belirli DSpace yapılandırmalarının adlarını kullandık.


# Temel anonim bağlantı (for VERBOSE, add -v)
ldapsearch -x -H [provider_url]
   
# Bağlantı hatası ayıklama (add -d-1)
# Bir LDAPS URL'sine bağlanıyorsanız ve bağlantı hatalarını görüyorsanız (örneğin: "peer cert untrusted or revoked")
# sonra aşağıdaki nota bakın "SSL Connection Errors"
ldapsearch -x -H [provider_url] -d-1
 
 
[provider_url] adresine [search.user] olarak bağlanmayı deneyin (arama.kullanıcının şifresini sorar)
# Bu aslında bir sorgu gerçekleştirmez, sadece kimlik doğrulamasının çalışmasını sağlar
# NOT: "search.user" genellikle ya da tam olarak kullanıcı DN'sidir. (örneğin: "cn=dspaceadmin,ou=people,o=myu.edu")
# veya "DOMAIN\USERNAME" (örneğin: "MYU\DSpaceUser"), veya samaccountname dir.
# İkincisi Windows Active Directory ile daha olasıdır.
ldapsearch -x -H [provider_url] -D [search.user] -W
 
 
Belirli bir [search_context] içindeki ilk 100 kullanıcıyı listelemeye çalışın, her biri için şu değerleri döndürün  "cn""mail" ve "sn" alanları 
ldapsearch -x -H [provider_url] -D [search.user] -W -b [search_context] -z 100 cn mail sn 
 
 
[id_field] "t" harfiyle başlayan ve her biri için [id_field], "cn", "mail" ve "sn" alanlarını döndüren ilk 100 kullanıcıyı bulmaya çalışın
ldapsearch -x -H [provider_url] -D [search.user] -W -b [search_context] -z 100 -s sub "([id_field]=t*)" [id_field] cn mail sn
Bazı denemeler ile teyid:

ldapsearch -x -H ldap://vgh.local:389/ ldapsearch -x -H ldap://vgh.local:389/ -D Dspace -W
ldapsearch -x -H ldap://vgh.local:389/ -D Dspace -w 'password' -b"ou=myu.edu.tr,dc=vgh,dc=local" -z 100 cn mail sn
ldapsearch -x -H ldap://vgh.local:389/ -D Dspace -w 'password' -b"ou=myu.edu.tr,dc=vgh,dc=local" -z 100 -s sub "(samaccountname=kz*)" cn samaccountname mail sn


SSL Bağlantı Hataları: ldapsearch'ü bir LDAPS bağlantısıyla (güvenli bağlantı) kullanıyorsanız, LDAP SSL sertifikası kendinden imzalıysa "eş sertifikası güvenilmez veya iptal edilir" hataları alabilirsiniz. ldapsearch'ün ldap.conf dosyasında TLS_REQCERT izin ver ayarlayarak LDAP'den geçici olarak herhangi bir güvenlik sertifikasını kabul etmesini isteyebilirsiniz. Ancak, testi tamamladıktan sonra bu ayarı kaldırdığınızdan emin olun!

# YALNIZCA TEST ETMEK İÇİN! Bu ayar geçerli bir LDAP Sunucusu güvenlik sertifikası kontrolünü devre dışı bırakır,

# Bu, üretim LDAP kurulumları için bir güvenlik sorunu olarak kabul edilir. Bunu "izin ver" olarak ayarlamanızı ifade eder.

# LDAP istemcisi, doğrulayamadığı veya doğrulayamadığı güvenlik sertifikalarını kabul edecek.

TLS_REQCERT allow


Hiyerarşik LDAP Kimlik Doğrulamasını Etkinleştirme

DSpace'in artık LDAPHierarchicalAuthentication sınıfını içermediğini lütfen unutmayın. Bu işlevsellik artık aynı yapılandırma seçeneklerini kullanan LDAPAuthentication tarafından desteklenmektedir.

Kullanıcılarınız LDAP sunucunuzdaki hiyerarşik bir ağaca yayılmışsa, DSpace'in ağacınızdaki kullanıcı adını aramasını isteyebilirsiniz.

Şöyle çalışır:

  1. DSpace kullanıcı adını giriş formundan alır

  2. DSpace, LDAP'ye DN'lerde arama yapma hakkına sahip bir yönetici kullanıcı olarak bağlanır (LDAP, anonim kullanıcıların arama yapmasına izin verecek şekilde yapılandırılmış olabilir)

  3. DSpace, kullanıcı adını DN'lerdeki gibi arar (kullanıcı adı, tam DN'nin bir parçasıdır)

  4. DSpace, giriş formunda bulunan tam DN ve parolayla bağlanır

  5. LDAP başarılı bir kimlik doğrulaması rapor ederse DSpace kullanıcının oturum açmasını sağlar; aksi takdirde giriş yapmayı red eder.


DSpace LDAP Kimlik Doğrulaması hakkında daha fazla bilgi için linke tıklayabilirsiniz:
DSpace LDAP Kimlik Doğrulaması