1.10. Active Directory 集成故障排除

如果您在使用 Active Directory 与 OpenStack Identity 集成时遇到问题，您可能需要测试 LDAP 连接或测试证书信任配置。您可能还需要检查 LDAPS 端口是否可以访问。

注意

根据错误类型和位置，仅执行此流程中的相关步骤。

流程

使用 ldapsearch 命令远程对 Active Directory 域控制器执行测试查询来测试 LDAP 连接。这里有一个成功的结果表示网络连接正在正常工作，AD DS 服务已启动。在本例中，针对服务器 addc.lab.local 在端口 636 上执行测试查询：
```
# ldapsearch -Z -x -H ldaps://addc.lab.local:636 -D "svc-ldap@lab.local" -W -b "OU=labUsers,DC=lab,DC=local" -s sub "(cn=*)" cn
```
注意
- ldapsearch 是 openldap-clients 软件包的一部分。您可以使用 evince dnf install openldap-clients 进行安装
- 此命令需要在主机操作系统中找到必要的证书。
如果您在测试 ldapsearch 命令时 无法识别 Peer 的证书签发者 错误，请确认您的 TLS_CACERTDIR 路径设置正确。例如：
```
TLS_CACERTDIR /etc/openldap/certs
```
作为临时解决方案，请考虑禁用证书验证。
重要
不得永久配置此设置。
在 /etc/openldap/ldap.conf 中，设置 TLS_REQCERT 参数 以允许 ：
```
TLS_REQCERT allow
```
如果在设置这个值后 ldapsearch 查询可以正常工作，您可能需要检查您的证书信任是否正确配置。
使用 nc 命令检查是否远程访问 LDAPS 端口 636。在本例中，针对服务器 addc.lab.local 执行探测。按 ctrl-c 退出提示符。
```
# nc -v addc.lab.local 636
Ncat: Version 6.40 ( http://nmap.org/ncat )
Ncat: Connected to 192.168.200.10:636.
^C
```
如果无法建立连接，这可能表示防火墙配置问题。

Select Your Language