Rechercher Active Directory avec Ldapsearch

Il est assez courant d’avoir des machines Linux ou UNIX sur un réseau avec un domaine Microsoft Active Directory (AD). Il peut y avoir des moments où vous souhaitez ou devez rechercher Active Directory avec ldapsearch.

Exemple rapide

Utilisation de TLS

ldapsearch -H ldaps://dc.example.com -x -W -D "[email protected]" \ -b "dc=example,dc=com" "(sAMAccountName=user)"

Sans TLS

ldapsearch -H ldap://dc.example.com -x -W -D "[email protected]" \ -b "dc=example,dc=com" "(sAMAccountName=user)"

Si vous voulez ou avez besoin d’un guide plus approfondi, continuez à lire.

Configurez ldap.conf

Si vous êtes d’accord avec une connexion non cryptée, passez à la section suivante. Si possible, vous devez obtenir le certificat d’autorité de certification (CA) utilisé pour signer le certificat AD server. Demandez à votre administrateur d’annonces de vous le fournir au format PEM. Si cela n’est pas possible et si vous êtes raisonnablement sûr que votre connexion réseau n’est pas compromise, vous pouvez utiliser openssl pour récupérer le certificat du serveur à partir du serveur. L’exemple suivant montre comment procéder.

tyler@desktop:~$ openssl s_client -connect ldap.tylersguides.com:636 -showcerts 

Copiez et collez le texte du certificat du certificat inférieur dans un fichier. J’utilise /pki/cacerts.pem. Le texte du certificat ressemblera à ceci:

-----BEGIN CERTIFICATE-----MIIFdDCCBFygAwIBAgIQJ2buVutJ846r13Ci/ITeIjANBgkqhkiG9w0BAQwFADBvMQswCQYDVQQGEwJTRTEUMBIGA1UEChMLQWRkVHJ1c3QgQUIxJjAkBgNVBAsTHUFkZFRydXN0IEV4dGVybmFsIFRUUCBOZXR3b3JrMSIwIAYDVQQDExlBZGRUcnVzdCBFpu/xO28QOG8=-----END CERTIFICATE-----

Ouvrez ldap.conf avec un éditeur de texte. Voici où le trouver sur différents systèmes d’exploitation:

CHEMIN DU SYSTÈME d’EXPLOITATION
Si vous avez un problème, vous pouvez le faire.conf
Debian / etc/ldap/ldap.conf
Si vous avez un problème, vous pouvez le faire.conf

Ajoutez la ligne

TLS_CACERT /pki/cacerts.pem

à votre fichier. Remplacer /pki/cacerts.pem avec l’emplacement où vous avez placé le certificat de CA d’ANNONCE si vous avez décidé de le placer ailleurs. Ajoutez également la ligne

TLS_REQCERT demand

à votre fichier. Dans le cas où votre réseau est compromis, cela empêchera l’attaquant de voler vos informations d’identification avec une attaque man in the middle.

Rechercher Active Directory avec Ldapsearch

Utilisez l’exemple suivant, en remplaçant les valeurs en surbrillance pour effectuer la recherche. Si vous avez choisi de ne pas utiliser de connexion chiffrée, utilisez ldap:// au lieu de ldaps://

ldapsearch -H ldaps://dc.example.com -x -W -D "[email protected]" \ -b "dc=example,dc=com" "(filter)" "attr1" "attr2"
Option Explication
– H L’URI du serveur d’annuaire que vous interrogez.
– x Utilise une authentification simple au lieu de SASL.
– W Vous invite à entrer votre mot de passe.
– D Le DN de l’utilisateur avec lequel vous vous authentifiez. Lorsque vous interrogez AD, ce sera votre nom d’utilisateur AD @ votre domaine.
– b Où dans le répertoire pour lancer votre recherche. Si vous savez dans quoi se trouvent les entrées que vous recherchez, vous pouvez les ajouter à votre base. Par exemple, si vous savez que vous voulez regarder dans un OU appelé stuff, votre base ressemblera à ceci: « ou= trucs, dc= exemple, dc= com ». Si vous ne savez pas dans quoi il se trouve, vous pouvez simplement utiliser votre domaine. Par exemple « dc= tylersguides, dc=com »
filter Le filtre de recherche LDAP utilisé pour rechercher des entrées. Le filtre le plus simple consiste à rechercher un attribut avec une valeur particulière. Par exemple, si vous recherchez un utilisateur d’annonce avec le nom d’utilisateur bob, vous utiliserez le filtre  » (sAMAccountName=bob) ». Si vous voulez trouver tous ceux qui sont membres du groupe cn= stockage, ou= groupes, dc= exemple, dc= com, vous utiliserez « (memberOf=cn= stockage, ou= groupes, dc= exemple, dc=com) »
attr Les attributs que vous souhaitez afficher. Chaque attribut doit être séparé par un espace. Certains courants sont mail et memberOf.

Si vous êtes intéressé, j’ai écrit un guide sur les filtres de recherche LDAP.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

More: