on melko yleistä, että Linux-tai UNIX-koneita on verkossa, jossa on Microsoft Active Directory (AD) – verkkotunnus. Voi olla aikoja, jolloin haluat tai sinun täytyy etsiä Active Directory ldapsearch.
Pikaesimerkki
käyttäen TLS
ldapsearch -H ldaps://dc.example.com -x -W -D "[email protected]" \ -b "dc=example,dc=com" "(sAMAccountName=user)"ilman TLS
ldapsearch -H ldap://dc.example.com -x -W -D "[email protected]" \ -b "dc=example,dc=com" "(sAMAccountName=user)"jos haluat tai tarvitset perusteellisemman oppaan, jatka lukemista.
ldap-arvon määrittäminen.conf
jos salaamaton yhteys sopii sinulle, siirry seuraavaan osioon. Jos mahdollista, sinun on hankittava varmenneviranomainen (CA) – varmenne, jota käytetään AD server-varmenteen allekirjoittamiseen. Pyydä mainoksesi ylläpitäjää toimittamaan tämä sinulle PEM-muodossa. Jos tämä ei ole mahdollista ja jos olet kohtuullisen varma, että verkkoyhteytesi ei ole vaarantunut, voit hakea palvelinvarmenteen palvelimelta openssl: n avulla. Seuraava esimerkki osoittaa, miten tämä tehdään.
tyler@desktop:~$ openssl s_client -connect ldap.tylersguides.com:636 -showcerts kopioi ja liitä varmenteen teksti alhaalta varmenteesta tiedostoon. Käytän /pki / cacertsia.pem. Sertifikaatin teksti näyttää tältä:
-----BEGIN CERTIFICATE-----MIIFdDCCBFygAwIBAgIQJ2buVutJ846r13Ci/ITeIjANBgkqhkiG9w0BAQwFADBvMQswCQYDVQQGEwJTRTEUMBIGA1UEChMLQWRkVHJ1c3QgQUIxJjAkBgNVBAsTHUFkZFRydXN0IEV4dGVybmFsIFRUUCBOZXR3b3JrMSIwIAYDVQQDExlBZGRUcnVzdCBFpu/xO28QOG8=-----END CERTIFICATE-----avaa ldap.conf tekstieditorilla. Täältä löydät sen eri käyttöjärjestelmissä:
| OS | polku |
|---|---|
| CentOS | / etc/openldap / ldap.conf |
| Debian | / etc/ldap / ldap.conf |
| OpenSUSE | / etc/openldap / ldap.conf |
lisää tiedostoosi rivi
TLS_CACERT /pki/cacerts.pem. Korvaa /pki / cacerts.pem sijainti laitat AD CA cert jos päätit laittaa sen jonnekin muualle. Lisää rivi
TLS_REQCERT demandmyös tiedostoosi. Jos verkkosi vaarantuu, tämä estää hyökkääjää varastamasta tunnuksiasi keskihyökkäyksessä olevan miehen kanssa.
haku Active Directory Ldapsearch
käytä seuraavaa esimerkkiä ja korvaa korostetut arvot haun suorittamiseksi. Jos et käytä salattua yhteyttä, käytä ldap:// – ohjelmaa LDAP: n sijasta://
ldapsearch -H ldaps://dc.example.com -x -W -D "[email protected]" \ -b "dc=example,dc=com" "(filter)" "attr1" "attr2"| vaihtoehto | selitys |
|---|---|
| -H | kyselemäsi hakemistopalvelimen URI. |
| -x | käytä yksinkertaista todennusta SASL: n sijasta. |
| -W | pyytää salasanasi. |
| -D | todennettavan käyttäjän DN. Kun kyselet mainosta, tämä on mainoksesi käyttäjänimi @ verkkotunnuksesi. |
| -b | missä hakemistossa haku aloitetaan. Jos tiedät mitä ou merkinnät etsit ovat, voit lisätä sen base. Esimerkiksi, jos tiedät, että haluat etsiä OU nimeltään stuff, tukikohtasi näyttää tältä: ou=stuff, dc=example, dc=com. Jos et tiedä, mitä ou se on, se on ok vain käyttää verkkotunnuksen. Esim. ”dc=tylersguides, dc=com” |
| suodatin | LDAP-hakusuodatin, jota käytetään tietueiden etsimiseen. Yksinkertaisin suodatin etsii attribuuttia, jolla on tietty arvo. Jos esimerkiksi etsit MAINOSKÄYTTÄJÄÄ, jolla on käyttäjänimi bob, käyttäisit suodatinta ” (sAMAccountName=bob)”. Jos haluat löytää kaikki ryhmään kuuluvat CN=storage, ou=groups, dc=example, dc=com, käyttäisit ”(memberOf=CN=storage, ou=groups, dc=example, dc=com)” |
| attr | attribuutit, jotka haluat näyttää. Jokainen ominaisuus on erotettava välilyönnillä. Joitakin yleisiä ovat mail ja memberOf. |
jos olet kiinnostunut, kirjoitin oppaan LDAP hakusuodattimet.