1

当我将 VPN 设置为使用 LDAP 身份验证时,我从 LDAP 服务器日志中注意到,Solace 将在每次搜索操作之前执行绑定操作,并代表客户端执行绑定操作。以下是我的 LAP 服务器日志:

(1) 绑定请求:

BindRequestProtocolOp(version=3, bindDN='SolaceAdminDN@solace', type=simple)                                                                

(2) 检索请求:

SearchRequestProtocolOp(baseDN='ou=clientOU,dc=kks', scope='BASE', derefPolicy='ALWAYS', sizeLimit=1, timeLimit=5, typesOnly=false, filter='(uid=clientID123)', attributes={memberOf})

(3) 绑定请求:

BindRequestProtocolOp(version=3, bindDN='SolaceAdminDN@solace', type=simple)                                                                

(4) 绑定请求:

BindRequestProtocolOp(version=3, bindDN='clientID123@clientOU.erp2.lta.gov.sg', type=simple)                                                                

(5) 绑定请求:

BindRequestProtocolOp(version=3, bindDN='SolaceAdminDN@solace', type=simple)                                                                

(6) 检索请求:

SearchRequestProtocolOp(baseDN='ou=clientOU,dc=kks', scope='BASE', derefPolicy='ALWAYS', sizeLimit=1, timeLimit=5, typesOnly=false, filter='(uid=clientID123)', attributes={memberOf})                                                              

(7) 绑定请求:

BindRequestProtocolOp(version=3, bindDN='SolaceAdminDN@solace', type=simple)                                                                

(8) 绑定请求:

BindRequestProtocolOp(version=3, bindDN='clientID123@clientOU.erp2.lta.gov.sg', type=simple)        

步骤 (1)、(3)、(5) 和 (6) 是 Solace 使用 LDAP 配置文件中配置的管理员 DN 进行的绑定操作。

  • clientID123 尝试使用错误密码登录
  • Solace Admi DN 在搜索 clientID123(步骤 2)之前执行绑定(步骤 1)
  • Solace Admin DN 在为 clientID123 执行绑定(步骤 4)之前执行绑定(步骤 3)

我的问题是:

  1. 为什么 Solace 每次在搜索和绑定客户端之前都要执行绑定?
  2. 我相信在我的客户收到 Auth 错误之前,Solace 会重试步骤 (5) 到 (8)。真的吗?

谢谢你。

4

1 回答 1

1

为什么 Solace 每次在搜索和绑定客户端之前都要执行绑定?

Solace 路由器维护一个 LDAP 连接池,以加快未来的搜索速度。当路由器填满连接池时,您在 (1)、(3)、(5) 和 (7) 中看到的是绑定请求。

至少再尝试 10 次连接尝试后执行数据包捕获,并且不会再有使用管理员可分辨名称的绑定请求。

请注意,这假定您的 LDAP 服务器未配置为在每次搜索或绑定尝试后故意关闭 LDAP 连接,导致每次查找都需要使用 Admin DN 重新绑定。

我相信在我的客户收到 Auth 错误之前,Solace 会重试步骤 (5) 到 (8)。真的吗?

不会。Solace 路由器在被 LDAP 服务器拒绝后立即拒绝客户端连接尝试。

您的应用程序可能会尝试再次连接,从而导致 Solace 路由器执行 LDAP 查找以再次验证应用程序。

于 2017-01-10T04:59:25.500 回答