go - Golang 的 LDAP 客户端库如何使用证书?
问题描述
我正在尝试使用Golang 的 LDAP 库连接到G Suite 的 LDAPS 服务器。
但是,在示例中,我并不真正了解两件事。
似乎它首先通过非加密 LDAP 连接?然后升级?这是真的吗,如果是这样,我不能从连接加密开始吗?
Google 提供了一个 .cer 和 .key 文件来连接到他们的 ldap 服务器。我看不到它在哪里使用这些文件。我确实在他们的文档中看到许多 LDAP 客户端需要将文件组合成 .p12。围棋有必要吗?
如果回答这个问题的人可以提供一个例子,那真的很有帮助。谢谢你。
解决方案
StartTLS
,正如您所指出的,它允许升级连接以TLS
在连接生命周期的后期使用。
如果您想立即通过连接TLS
,请使用众所周知的ldaps
端口636
(而不是389
) - 并使用 DialTLS:
// l, err := ldap.Dial("tcp", "ldap.example.com:389"))
var tlsConf *tls.Config
ldaps, err := ldap.DialTLS("tcp", "gsuite.google.com:636", tlsConf)
您也可以使用DialURL
which 通过模式推断 TLS 或非 TLS,例如
conn, err := ldap.DialURL("ldap://ldap.example.com") // non-TLS on default port 389
conn, err := ldap.DialURL("ldaps://ldap.example.com") // TLS on default port 636
conn, err := ldap.DialURL("ldaps://myserver.com:1234") // TLS on custom port 1234
// Note: there is no way to add a custom tls.Config with this method
因此,如果使用,DialTLS
: 因为您使用的是 Google 服务,它的信任证书应该已经在您的钥匙串中,所以一个简单的tls.Config
就足够了:
tlsConf = &tls.Config{ServerName:"gsuite.google.com"} // <- ensure this matches the hostname provided by the server
如果您想让测试运行起来:
// DONT EVER USE THIS IN PRODUCTION...
tlsConf = &tls.Config{InsecureSkipVerify: true} // DO NOT USE EVER
要为客户端身份验证添加客户端证书:
// Load cer & key files into a pair of []byte
cert, err := tls.X509KeyPair(cer, key)
if err != nil {
log.Fatal(err)
}
tlsCong := &tls.Config{Certificates: []tls.Certificate{cert}}
推荐阅读
- c# - How to get input from textbox in C#?
- python - 绘制 Cstr 方程
- javascript - 如何修复“输出中没有数组名称”
- matlab - Multiple conditions with 'if' statement
- php - Composer 在安装供应商时检测到 5.6 而不是 7.1
- mongodb - 如何在 mongoDB 中查询该文档?
- go - sorting slice of integer inside a slices
- linear-regression - 回归系数和弹性有什么区别
- c++ - 从 C++ 中的文本文件中按顺序检查用户名和密码
- django - 打开连接时的Django事务?@transaction.commit_manually @transaction.atomic