go - Golang 的 LDAP 客户端库如何使用证书？

问题描述

我正在尝试使用Golang 的 LDAP 库连接到 G Suite 的 LDAPS 服务器。

但是，在示例中，我并不真正了解两件事。

似乎它首先通过非加密 LDAP 连接？然后升级？这是真的吗，如果是这样，我不能从连接加密开始吗？
Google 提供了一个 .cer 和 .key 文件来连接到他们的 ldap 服务器。我看不到它在哪里使用这些文件。我确实在他们的文档中看到许多 LDAP 客户端需要将文件组合成 .p12。围棋有必要吗？

如果回答这个问题的人可以提供一个例子，那真的很有帮助。谢谢你。

标签： goldapgoogle-workspace

StartTLS，正如您所指出的，它允许升级连接以TLS在连接生命周期的后期使用。

如果您想立即通过连接TLS，请使用众所周知的ldaps端口636（而不是389） - 并使用 DialTLS：

// l, err := ldap.Dial("tcp", "ldap.example.com:389"))

var tlsConf *tls.Config

ldaps, err := ldap.DialTLS("tcp", "gsuite.google.com:636", tlsConf)

您也可以使用DialURLwhich 通过模式推断 TLS 或非 TLS，例如

conn, err := ldap.DialURL("ldap://ldap.example.com") // non-TLS on default port 389
conn, err := ldap.DialURL("ldaps://ldap.example.com") // TLS on default port 636
conn, err := ldap.DialURL("ldaps://myserver.com:1234") // TLS on custom port 1234

// Note: there is no way to add a custom tls.Config with this method

因此，如果使用，DialTLS: 因为您使用的是 Google 服务，它的信任证书应该已经在您的钥匙串中，所以一个简单的tls.Config就足够了：

tlsConf = &tls.Config{ServerName:"gsuite.google.com"} // <- ensure this matches the hostname provided by the server

如果您想让测试运行起来：

// DONT EVER USE THIS IN PRODUCTION...
tlsConf = &tls.Config{InsecureSkipVerify: true} // DO NOT USE EVER

要为客户端身份验证添加客户端证书：

// Load cer & key files into a pair of []byte 
cert, err := tls.X509KeyPair(cer, key)
if err != nil {
    log.Fatal(err)
}
tlsCong := &tls.Config{Certificates: []tls.Certificate{cert}}

go - Golang 的 LDAP 客户端库如何使用证书？

问题描述

解决方案

推荐阅读