尝试使用TLS连接到LDAP时出错“ LDAP结果代码201“ ErrorNetwork”:无效的数据包格式”

I'm trying make an authentication service with LDAP and TLS using http://www.github.com/mavricknz/ldap When I use only basic authentication using the following code, everything works just fine.

conn := ldap.NewLDAPConnection(ldapHost, ldapPort)

conn.NetworkConnectTimeout = time.Duration(ldapConnTimeout) * time.Millisecond
conn.ReadTimeout = time.Duration(ldapReadTimeout) * time.Millisecond

if err := conn.Connect(); err != nil {
    log.Println(err)
    resp.WriteHeader(http.StatusInternalServerError)
    return
}

defer conn.Close()

// bind to ldap
if err := conn.Bind(username, password); err != nil {
    ldaperr := err.(*ldap.LDAPError)
    if ldaperr.ResultCode == ldap.LDAPResultInvalidCredentials {
        resp.Header().Set("WWW-Authenticate", `Basic realm="Item Codes Database"`)
        resp.WriteHeader(http.StatusUnauthorized)
    } else {
        log.Println(err)
        resp.WriteHeader(http.StatusInternalServerError)
    }
    return
}

but when I try to applying TLS to my code by changing

conn := ldap.NewLDAPConnection(ldapHost, ldapPort)

to

ldap.NewLDAPTLSConnection(ldapHost, ldapPort, &tls.Config{})

It gives me an error LDAP Result Code 201 "ErrorNetwork": Invalid packet format. That error comes from method conn.Connect() which when I dig into it, it didn't even reach the point where the TLS config or TLS flag has been used.

drkenap147751
drkenap147751 我有完全相同的问题。下周,我将尝试使用go-ldap库,它是mavericknz的更新后的分支,并且具有相当新的FixStartTLS补丁,希望对您有所帮助。如果此举或其他举足轻重的成果,我一定会提交答案。如果找到解决方案,希望您也回答自己的问题。
5 年多之前 回复

1个回答



好,我找到了解决方案。 我需要将端口从ldap的389更改为ldaps的636,因为我们使用TLS协议。 而且我还必须使用方法 NewLDAPSSLConnection </ code>来建立隐式TLS连接。</ p>

我不确定为什么 NewLDAPTSLConnection </ code>不这样做 工作。 它使用显式TLS,这要求我们首先建立普通连接(使用端口389),然后尝试通过该连接启动TLS。</ p>
</ div>

展开原文

原文

Ok, I've found my solution. I need to change the port from ldap's 389 to ldaps' 636 because we use TLS protocol. And I also has to use method NewLDAPSSLConnection instead to establish an implicit TLS connection.

I'm not sure why NewLDAPTSLConnection does not work. It use explicit TLS which require us to establish a normal connection first (which use port 389) and then attempt to start TLS over that connection.

dsavz66262
dsavz66262 我不了解OP的LDAP服务器,但在许多支持TLS的LDAP服务器上也遇到了相同的问题,并且它们在与Perl建立连接时可以工作,但不能与Go库建立连接。 我认为这是Go lib中的错误。
5 年多之前 回复
doukun0888
doukun0888 这是一种解决方法,而不是适当的解决方案。 似乎NewLDAPTLSConnection()中存在错误。
5 年多之前 回复
dongmen5867
dongmen5867 LDAP服务器在端口389上是否支持STARTTLS? 显然不是。
5 年多之前 回复
Csdn user default icon
上传中...
上传图片
插入图片
抄袭、复制答案,以达到刷声望分或其他目的的行为,在CSDN问答是严格禁止的,一经发现立刻封号。是时候展现真正的技术了!
立即提问