To je docela běžné mít Linux nebo UNIX stroje v síti s Microsoft Active Directory (AD) domény. Mohou nastat situace, kdy chcete nebo potřebujete hledat službu Active Directory pomocí ldapsearch.
Rychlý Příklad
Pomocí TLS
ldapsearch -H ldaps://dc.example.com -x -W -D "[email protected]" \ -b "dc=example,dc=com" "(sAMAccountName=user)"Bez TLS
ldapsearch -H ldap://dc.example.com -x -W -D "[email protected]" \ -b "dc=example,dc=com" "(sAMAccountName=user)"Pokud chcete nebo potřebujete více do hloubky průvodce, pokračujte ve čtení.
konfigurace ldap.conf
pokud jste v pořádku s nešifrovaným připojením, přeskočte na další část. Pokud je to možné, musíte získat certifikát certifikační autority (CA), který se používá k podpisu certifikátu reklamního serveru. Požádejte správce reklamy, aby vám to poskytl ve formátu PEM. Pokud to není možné a pokud jste si dostatečně jisti, že vaše síťové připojení není ohroženo, můžete použít OpenSSL k načtení certifikátu serveru ze serveru. Následující příklad ukazuje, jak to udělat.
tyler@desktop:~$ openssl s_client -connect ldap.tylersguides.com:636 -showcerts zkopírujte a vložte text certifikátu ze spodního certifikátu do souboru. Používám /pki / cacerts.pem. Text certifikátu bude vypadat takto:
-----BEGIN CERTIFICATE-----MIIFdDCCBFygAwIBAgIQJ2buVutJ846r13Ci/ITeIjANBgkqhkiG9w0BAQwFADBvMQswCQYDVQQGEwJTRTEUMBIGA1UEChMLQWRkVHJ1c3QgQUIxJjAkBgNVBAsTHUFkZFRydXN0IEV4dGVybmFsIFRUUCBOZXR3b3JrMSIwIAYDVQQDExlBZGRUcnVzdCBFpu/xO28QOG8=-----END CERTIFICATE-----otevřete ldap.conf s textovým editorem. Tady je, kde to najít na různých operačních systémech:
| OS | CESTA |
|---|---|
| CentOS | /etc/openldap/ldap.conf |
| Debian | / etc / ldap / ldap.conf |
| OpenSUSE | / etc / openldap / ldap.conf |
přidejte do souboru řádek
TLS_CACERT /pki/cacerts.pem. Nahradit /pki / cacerts.pem s místem, kde jste umístili reklamu CA cert, pokud jste se rozhodli dát ji někam jinam. Přidejte do souboru také řádek
TLS_REQCERT demand. V případě, že je vaše síť ohrožena, zabrání to útočníkovi ukrást vaše přihlašovací údaje s mužem ve středním útoku.
vyhledávání Active Directory s Ldapsearch
použijte následující příklad a nahrazením zvýrazněných hodnot proveďte vyhledávání. Pokud jste se rozhodla, že nebude používat šifrované připojení, použití ldap:// místo ldaps://
ldapsearch -H ldaps://dc.example.com -x -W -D "[email protected]" \ -b "dc=example,dc=com" "(filter)" "attr1" "attr2"| Možnost | Vysvětlení |
|---|---|
| -H | URI directory server je dotaz. |
| -x | místo SASL použijte jednoduchou autentizaci. |
| -W | vás vyzve k zadání hesla. |
| -D | DN uživatele, se kterým ověřujete. Při dotazování na reklamu to bude vaše uživatelské jméno reklamy @ vaše doména. |
| -b | kde v adresáři zahájit vyhledávání. Pokud víte, v čem jsou hledané položky, můžete je přidat do své základny. Například, pokud víte, že se chcete podívat do ou s názvem stuff, vaše základna bude vypadat takto: „ou=stuff,dc=example,dc=com“. Pokud nevíte, v čem je, je v pořádku použít vaši doménu. Např. „dc=tylersguides, dc=com“ |
| filtr | vyhledávací filtr LDAP používaný k nalezení záznamů. Nejjednodušší filtr hledá atribut s určitou hodnotou. Pokud například hledáte uživatele reklamy s uživatelským jménem bob, použili byste filtr “ (sAMAccountName=bob)“. Pokud chcete najít každý, který je členem skupiny cn=úložiště,ou=groups,dc=příklad,dc=com, musíte použít „(memberOf=cn=úložiště,ou=groups,dc=příklad,dc=com)“ |
| attr | atributy, které chcete zobrazit. Každý atribut by měl být oddělen mezerou. Některé běžné jsou pošta a člen. |
Máte-li zájem, napsal jsem průvodce na LDAP vyhledávací filtry.