det er ret almindeligt at have Microsoft Active Directory (AD) på et netværk med et Microsoft Active Directory (AD) domæne. Der kan være tidspunkter, hvor du ønsker eller har brug for at søge Active Directory med ldapsearch.
hurtigt eksempel
brug af TLS
ldapsearch -H ldaps://dc.example.com -x -W -D "[email protected]" \ -b "dc=example,dc=com" "(sAMAccountName=user)"
uden TLS
ldapsearch -H ldap://dc.example.com -x -W -D "[email protected]" \ -b "dc=example,dc=com" "(sAMAccountName=user)"
hvis du vil eller har brug for en mere dybdegående guide, skal du fortsætte med at læse.
Indstil ldap.conf
hvis du har det godt med en ukrypteret forbindelse, skal du springe til næste afsnit. Hvis det er muligt, skal du indhente certifikatet certificate authority (CA), der bruges til at underskrive AD server-certifikatet. Bed din Annonceadministrator om at give dette til dig i PEM-format. Hvis dette ikke er muligt, og hvis du med rimelighed er sikker på, at din netværksforbindelse ikke er kompromitteret, kan du bruge OpenSSL til at hente servercertifikatet fra serveren. Følgende eksempel viser, hvordan man gør dette.
tyler@desktop:~$ openssl s_client -connect ldap.tylersguides.com:636 -showcerts
Kopier og indsæt certifikatteksten fra det nederste certifikat i en fil. Jeg bruger/pki / cacerts.pem. Certifikatteksten vil se sådan ud:
-----BEGIN CERTIFICATE-----MIIFdDCCBFygAwIBAgIQJ2buVutJ846r13Ci/ITeIjANBgkqhkiG9w0BAQwFADBvMQswCQYDVQQGEwJTRTEUMBIGA1UEChMLQWRkVHJ1c3QgQUIxJjAkBgNVBAsTHUFkZFRydXN0IEV4dGVybmFsIFRUUCBOZXR3b3JrMSIwIAYDVQQDExlBZGRUcnVzdCBFpu/xO28QOG8=-----END CERTIFICATE-----
Åbn ldap.conf med en teksteditor. Her finder du det på forskellige operativsystemer:
os | sti |
---|---|
CentOS | /etc/OpenLDAP/ldap.conf |
Debian | /etc/ldap/ldap.conf |
OpenSUSE | /etc/OpenLDAP/ldap.conf |
Føj linjen
TLS_CACERT /pki/cacerts.pem
til din fil. Erstatte / pki / cacerts.pem med den placering, du lægger annoncen CA cert, hvis du besluttede at placere den et andet sted. Tilføj også linjen
TLS_REQCERT demand
til din fil. I tilfælde af at dit netværk er kompromitteret, forhindrer dette angriberen i at stjæle dine legitimationsoplysninger med en mand i midten angreb.
Søg i Active Directory med Ldapsearch
brug følgende eksempel til at erstatte de fremhævede værdier for at udføre søgningen. Hvis du har valgt ikke at bruge en krypteret forbindelse, skal du bruge ldap: / / i stedet for ldaps://
ldapsearch -H ldaps://dc.example.com -x -W -D "[email protected]" \ -b "dc=example,dc=com" "(filter)" "attr1" "attr2"
mulighed | forklaring |
---|---|
-H | URI for den mappeserver, du spørger om. |
– | Brug simpel godkendelse i stedet for SASL. |
-h | beder dig om din adgangskode. |
-D | DN for den bruger, du godkender med. Når du forespørger annonce, vil dette være din annonce brugernavn @ dit domæne. |
-b | hvor i mappen for at starte din søgning. Hvis du ved, hvad ou de poster, du søger efter, er I, kan du føje den til din base. For eksempel, hvis du ved, at du vil kigge i en OU kaldet ting, vil din base se sådan ud: “ou=ting,dc=eksempel, dc=com”. Hvis du ikke ved, hvad OU det er i, er det ok at bare bruge dit domæne. F. eks. “dc=tylersguides, dc=com” |
filter | LDAP-søgefilteret bruges til at finde poster. Det enkleste filter leder efter en attribut med en bestemt værdi. Leder efter en ANNONCEBRUGER med brugernavnet bob, bruger du filteret “(sAMAccountName=bob)”. Hvis du vil finde alle, der er medlem af gruppen cn=opbevaring, ou=grupper, dc=eksempel, dc=com, ville du bruge “(memberOf=cn=opbevaring, ou=grupper, dc=eksempel, dc=com)” |
attr | de attributter, du ønsker at vise. Hver attribut skal adskilles med et mellemrum. Nogle af dem er mail og membersof. |
hvis du er interesseret, skrev jeg en guide til LDAP-søgefiltre.