Es ist ziemlich üblich, Linux- oder UNIX-Computer in einem Netzwerk mit einer Microsoft Active Directory (AD) -Domäne zu haben. Es kann vorkommen, dass Sie Active Directory mit ldapsearch durchsuchen möchten oder müssen.
Schnelles Beispiel
Verwenden von TLS
ldapsearch -H ldaps://dc.example.com -x -W -D "[email protected]" \ -b "dc=example,dc=com" "(sAMAccountName=user)"Ohne TLS
ldapsearch -H ldap://dc.example.com -x -W -D "[email protected]" \ -b "dc=example,dc=com" "(sAMAccountName=user)"Wenn Sie eine ausführlichere Anleitung wünschen oder benötigen, lesen Sie weiter.
Konfigurieren Sie ldap.conf
Wenn Sie mit einer unverschlüsselten Verbindung einverstanden sind, fahren Sie mit dem nächsten Abschnitt fort. Wenn möglich, müssen Sie das Zertifikat der Zertifizierungsstelle (Certificate Authority, CA) abrufen, das zum Signieren des AD Server-Zertifikats verwendet wird. Bitten Sie Ihren Anzeigenadministrator, dies im PEM-Format bereitzustellen. Wenn dies nicht möglich ist und Sie einigermaßen sicher sind, dass Ihre Netzwerkverbindung nicht beeinträchtigt wird, können Sie openssl verwenden, um das Serverzertifikat vom Server abzurufen. Das folgende Beispiel zeigt, wie das geht.
tyler@desktop:~$ openssl s_client -connect ldap.tylersguides.com:636 -showcerts Kopieren Sie den Zertifikatstext aus dem unteren Zertifikat und fügen Sie ihn in eine Datei ein. Ich benutze /pki /cacerts.pem. Der Zertifikatstext wird ungefähr so aussehen:
-----BEGIN CERTIFICATE-----MIIFdDCCBFygAwIBAgIQJ2buVutJ846r13Ci/ITeIjANBgkqhkiG9w0BAQwFADBvMQswCQYDVQQGEwJTRTEUMBIGA1UEChMLQWRkVHJ1c3QgQUIxJjAkBgNVBAsTHUFkZFRydXN0IEV4dGVybmFsIFRUUCBOZXR3b3JrMSIwIAYDVQQDExlBZGRUcnVzdCBFpu/xO28QOG8=-----END CERTIFICATE-----Öffnen Sie ldap.conf mit einem Texteditor. Hier finden Sie es auf verschiedenen Betriebssystemen:
| OS | PFAD |
|---|---|
| CentOS | /etc/openldap/ldap.conf |
| Debian | /etc/ldap/ldap.conf |
| openSUSE | /etc/openldap/ldap.conf |
Fügen Sie die Zeile
TLS_CACERT /pki/cacerts.pemzu Ihrer Datei hinzu. Ersetzen Sie /pki/cacerts.pem mit dem Ort, an dem Sie das AD CA-Zertifikat ablegen, wenn Sie es an einem anderen Ort ablegen möchten. Fügen Sie auch die Zeile
TLS_REQCERT demandzu Ihrer Datei hinzu. Falls Ihr Netzwerk kompromittiert ist, verhindert dies, dass der Angreifer Ihre Anmeldeinformationen mit einem Man-in-the-Middle-Angriff stiehlt.
Active Directory mit Ldapsearch durchsuchen
Verwenden Sie das folgende Beispiel und ersetzen Sie die hervorgehobenen Werte, um die Suche durchzuführen. Wenn Sie keine verschlüsselte Verbindung verwenden möchten, verwenden Sie ldap:// anstelle von ldaps://
ldapsearch -H ldaps://dc.example.com -x -W -D "[email protected]" \ -b "dc=example,dc=com" "(filter)" "attr1" "attr2"| Option | Erläuterung |
|---|---|
| – H | Der URI des Verzeichnisservers, den Sie abfragen. |
| – x | Verwenden Sie einfache Authentifizierung anstelle von SASL. |
| – W | Fordert Sie zur Eingabe Ihres Passworts auf. |
| – D | Der DN des Benutzers, mit dem Sie sich authentifizieren. Bei der Abfrage von AD ist dies Ihr AD-Benutzername @ Ihre Domain. |
| – b | Wo im Verzeichnis, um Ihre Suche zu starten. Wenn Sie wissen, was OU die Einträge, die Sie suchen, sind in, Sie können es zu Ihrer Basis hinzufügen. Wenn Sie beispielsweise wissen, dass Sie in einer Organisationseinheit namens stuff suchen möchten, sieht Ihre Basis folgendermaßen aus: „ou = Zeug, dc = Beispiel, dc = com“. Wenn Sie nicht wissen, in welcher Organisationseinheit es sich befindet, ist es in Ordnung, nur Ihre Domain zu verwenden. ZB „dc=tylersguides,dc =com“ |
| filter | Der LDAP-Suchfilter zum Suchen von Einträgen. Der einfachste Filter sucht nach einem Attribut mit einem bestimmten Wert. Wenn Sie beispielsweise nach einem AD-Benutzer mit dem Benutzernamen bob suchen, verwenden Sie den Filter „(sAMAccountName=bob)“. Wenn Sie alle finden möchten, die Mitglied der Gruppe cn=storage,ou=groups,dc=example,dc=com , verwenden Sie „(memberOf=cn=storage,ou=groups,dc=example,dc=com)“ |
| attr | Die Attribute, die Sie anzeigen möchten. Jedes Attribut sollte durch ein Leerzeichen getrennt werden. Einige gängige sind Mail und memberOf . |
Wenn Sie interessiert sind, habe ich eine Anleitung zu LDAP-Suchfiltern geschrieben.