este destul de obișnuit să aveți mașini Linux sau UNIX într-o rețea cu un domeniu Microsoft Active Directory (AD). Pot exista momente când doriți sau trebuie să căutați Active Directory cu ldapsearch.
exemplu rapid
utilizarea TLS
ldapsearch -H ldaps://dc.example.com -x -W -D "[email protected]" \ -b "dc=example,dc=com" "(sAMAccountName=user)"
fără TLS
ldapsearch -H ldap://dc.example.com -x -W -D "[email protected]" \ -b "dc=example,dc=com" "(sAMAccountName=user)"
dacă doriți sau aveți nevoie de un ghid mai aprofundat, continuați să citiți.
configurați LDAP.conf
dacă sunteți în regulă cu o conexiune necriptată, treceți la secțiunea următoare. Dacă este posibil, trebuie să obțineți certificatul de autoritate de certificare (ca) utilizat pentru a semna certificatul ad server. Cereți administratorului anunțului să vă furnizeze acest lucru în format PEM. Dacă acest lucru nu este posibil și dacă sunteți sigur în mod rezonabil că conexiunea dvs. de rețea nu este compromisă, puteți utiliza openssl pentru a prelua certificatul de server de pe server. Următorul exemplu demonstrează cum se face acest lucru.
tyler@desktop:~$ openssl s_client -connect ldap.tylersguides.com:636 -showcerts
copiați și lipiți textul certificatului din partea de jos a certificatului într-un fișier. Eu folosesc / PKI / cacerts.pem. Textul certificatului va arăta astfel:
-----BEGIN CERTIFICATE-----MIIFdDCCBFygAwIBAgIQJ2buVutJ846r13Ci/ITeIjANBgkqhkiG9w0BAQwFADBvMQswCQYDVQQGEwJTRTEUMBIGA1UEChMLQWRkVHJ1c3QgQUIxJjAkBgNVBAsTHUFkZFRydXN0IEV4dGVybmFsIFRUUCBOZXR3b3JrMSIwIAYDVQQDExlBZGRUcnVzdCBFpu/xO28QOG8=-----END CERTIFICATE-----
deschideți ldap.conf cu un editor de text. Iată unde îl puteți găsi pe diferite sisteme de operare:
OS | cale |
---|---|
CentOS | /etc/openldap/ldap.conf |
Debian | /etc/ldap/ldap.conf |
OpenSUSE | /etc/openldap/ldap.conf |
adăugați linia
TLS_CACERT /pki/cacerts.pem
în fișierul dvs. Înlocuiți/pki / cacerts.pem cu locația pe care ați pus anunțul ca cert dacă ați decis să-l puneți în altă parte. Adăugați și linia
TLS_REQCERT demand
la fișierul dvs. În cazul în care rețeaua dvs. este compromisă, acest lucru va împiedica atacatorul să vă fure acreditările cu un atac de mijloc.
căutare Active Directory cu Ldapsearch
utilizați următorul exemplu, înlocuind valorile evidențiate pentru a efectua căutarea. Dacă ați optat să nu utilizați o conexiune criptată, utilizați LDAP: / / în loc de ldaps://
ldapsearch -H ldaps://dc.example.com -x -W -D "[email protected]" \ -b "dc=example,dc=com" "(filter)" "attr1" "attr2"
opțiunea | explicație |
---|---|
-H | URI-ul serverului de directoare pe care îl interogați. |
-X | utilizați autentificarea simplă în loc de SASL. |
-W | vă solicită parola. |
-D | DN-ul utilizatorului cu care vă autentificați. Când interogați anunțul, acesta va fi numele dvs. de utilizator al anunțului @ domeniul dvs. |
-b | în cazul în care în directorul pentru a începe căutarea. Dacă știți ce OU intrările pe care le căutați sunt în, puteți adăuga la baza ta. De exemplu, dacă știți că doriți să căutați într-un ou numit stuff, baza dvs. va arăta astfel: „ou = chestii, dc = exemplu, dc = com”. Dacă nu știți ce OU este în, ESTE ok pentru a utiliza doar domeniu. De exemplu „dc=tylersguides, dc = com” |
filtru | filtrul de căutare LDAP folosit pentru a găsi intrări. Cel mai simplu filtru caută un atribut cu o anumită valoare. De exemplu, dacă sunteți în căutarea unui utilizator publicitar cu numele de utilizator bob, utilizați filtrul „(sAMAccountName=bob)”. Dacă doriți să găsiți pe toți cei care sunt membri ai grupului CN = Stocare, ou = grupuri, dc = exemplu, dc = com, ați folosi „(memberOf = CN = Stocare, ou = grupuri, dc=exemplu, dc = com)” |
attr | atributele pe care doriți să le afișați. Fiecare atribut trebuie separat cu un spațiu. Unele comune sunt mail și memberOf. |
dacă sunteți interesat, am scris un ghid despre filtrele de căutare LDAP.