某局点sslvpn结合ldap认证不成功经验案例

组网如下：

sslvpn结合ldap认证，用iNode拨号认证不通过，把ldap相关配置删掉用本地认证测试认证成功。看设备配置没有问题，刚开始怀疑问题出在ldap服务器侧。检查ldap相关配置创建的用户也正常，查询路径也没问题。

#             

ldap server ldapserver

 login-dn cn=administrator,cn=users,dc=h3c,dc=com

 search-base-dn dc=h3c,dc=com

 ip 192.168.13.199

 login-password cipher $c$3$7oUQhFW3wfxOvS0nBwMHPCMJ02Y5QZYFNeo=

#  

收集debug信息：debug sslvpn和debug ldap 

到查询报文后没有成功。

*Mar  4 16:48:04:728 2020 GDSD-SHDZ-FW LDAP/7/EVENT: -COntext=1;

 PAM_LDAP:Keep state authentication searching for incomplete searching.

*Mar  4 16:48:12:937 2020 GDSD-SHDZ-FW LDAP/7/EVENT: -COntext=1;

 PAM_LDAP:Get result message errno = -14

*Mar  4 16:48:12:937 2020 GDSD-SHDZ-FW LDAP/7/EVENT: -COntext=1;

 PAM_LDAP:Get entry count is 0.

*Mar  4 16:48:12:937 2020 GDSD-SHDZ-FW LDAP/7/EVENT: -COntext=1;

 PAM_LDAP:Keep state authentication searching for incomplete searching.

*Mar  4 16:48:26:937 2020 GDSD-SHDZ-FW LDAP/7/EVENT: -COntext=1;

 PAM_LDAP:Get result message errno = -14

 PAM_LDAP:Failed to find session (socketFd=53, msgId=19)

在设备到ldap侧的接口上抓包，发现服务器回复了查询报文就没有后续交互的报文，设备并没有回复查询是否成功。

又在防火墙另外一个接口抓包，发现很奇怪的现象：设备向dns服务器发送的dns报文中，有包含请求解析h3c.com这个域名的报文。这个是ldap服务器用户所在的域。

发现现场的配置里面有配置dns server 192.168.1.1。后面确认得知配置了dns server后会去查***.***的域名，因为这个域名不存在，所以就会超时。

后续指导现场把dns server相关配置删掉问题解决。

在配置sslvpn结合ldap时需要注意，和接口上面配置dns server会和ldap域冲突，导致ldap认证时，会向dns服务器请求***.***的域名。