meglehetősen gyakori, hogy Linux vagy UNIX gépek vannak a hálózaton a Microsoft Active Directory (AD) tartomány. Előfordulhat, hogy az Ldapsearch segítségével szeretne vagy kell keresnie az Active Directory-t.
gyors példa
a TLS használata
ldapsearch -H ldaps://dc.example.com -x -W -D "[email protected]" \ -b "dc=example,dc=com" "(sAMAccountName=user)"
TLS nélkül
ldapsearch -H ldap://dc.example.com -x -W -D "[email protected]" \ -b "dc=example,dc=com" "(sAMAccountName=user)"
ha részletesebb útmutatót szeretne vagy szüksége van rá, olvassa tovább.
LDAP konfigurálása.conf
ha nincs titkosítatlan kapcsolata, ugorjon a következő szakaszra. Ha lehetséges, be kell szereznie az AD server tanúsítvány aláírásához használt hitelesítésszolgáltató (CA) tanúsítványt. Kérje meg hirdetési rendszergazdáját, hogy ezt PEM formátumban adja meg Önnek. Ha ez nem lehetséges, és ha ésszerűen biztos abban, hogy a hálózati kapcsolat nem sérült, akkor az openssl segítségével lekérheti a kiszolgálói tanúsítványt a kiszolgálóról. A következő példa bemutatja, hogyan kell ezt megtenni.
tyler@desktop:~$ openssl s_client -connect ldap.tylersguides.com:636 -showcerts
másolja és illessze be a tanúsítvány szövegét az alsó tanúsítványból egy fájlba. Én használ /pki / cacerts.pem. A tanúsítvány szövege így fog kinézni:
-----BEGIN CERTIFICATE-----MIIFdDCCBFygAwIBAgIQJ2buVutJ846r13Ci/ITeIjANBgkqhkiG9w0BAQwFADBvMQswCQYDVQQGEwJTRTEUMBIGA1UEChMLQWRkVHJ1c3QgQUIxJjAkBgNVBAsTHUFkZFRydXN0IEV4dGVybmFsIFRUUCBOZXR3b3JrMSIwIAYDVQQDExlBZGRUcnVzdCBFpu/xO28QOG8=-----END CERTIFICATE-----
nyissa meg az ldap-t.conf egy szövegszerkesztővel. Itt találja meg a különböző operációs rendszereken:
OS | elérési út |
---|---|
CentOS | /etc/openldap/ldap.conf |
Debian | /etc/ldap/ldap.conf |
OpenSUSE | /etc/openldap/ldap.conf |
adja hozzá a
TLS_CACERT /pki/cacerts.pem
sort a fájljához. Csere /pki / cacerts.pem a helyet, hogy a hirdetés CA cert, ha úgy döntött, hogy azt valahol máshol. Adja hozzá a
TLS_REQCERT demand
sort a fájljához is. Abban az esetben, ha a hálózat veszélybe kerül, ez megakadályozza, hogy a támadó ellopja a hitelesítő adatait egy középső támadásban lévő emberrel.
Keresés az Active Directoryban az Ldapsearch
funkcióval a keresés végrehajtásához használja az alábbi példát a kiemelt értékek helyettesítésére. Ha úgy döntött, hogy nem használ titkosított kapcsolatot, használja az ldap:// parancsot az ldaps helyett://
ldapsearch -H ldaps://dc.example.com -x -W -D "[email protected]" \ -b "dc=example,dc=com" "(filter)" "attr1" "attr2"
opció | magyarázat |
---|---|
-H | a lekérdezett címtárkiszolgáló URI-je. |
-x | SASL helyett egyszerű hitelesítést használjon. |
-W | kérje meg a jelszavát. |
-D | annak a Felhasználónak a DN-je, akivel hitelesítést végez. A hirdetés lekérdezésekor ez lesz a hirdetés felhasználóneve @ az Ön domainje. |
-b | hol a könyvtárban kezdeni a keresést. Ha tudja, hogy milyen bejegyzéseket keres, akkor hozzáadhatja a bázisához. Például, ha tudod, hogy meg akarsz nézni egy cucc nevű OU-ban, a bázisod így fog kinézni: “ou=cucc, dc = példa, dc=com”. Ha nem tudja, mi van benne, akkor rendben van, ha csak a domainjét használja. Pl. “dc=tylersguides, dc = com” |
szűrő | a bejegyzések kereséséhez használt LDAP keresési szűrő. A legegyszerűbb szűrő egy adott értékkel rendelkező attribútumot keres. Például, ha Bob felhasználónévvel rendelkező hirdetési felhasználót keres, akkor a “(sAMAccountName=bob)”szűrőt használja. Ha mindenkit meg akar találni, aki a csoport tagja cn=Tárolás, ou=csoportok, dc = példa, dc=com, akkor használja a ” (memberOf=cn = Tárolás, ou=csoportok, dc=példa, dc = com)” |
attr | a megjeleníteni kívánt attribútumok. Minden attribútumot szóközzel kell elválasztani. Néhány gyakori közülük a mail és a memberOf. |
ha érdekel, írtam egy útmutatót az LDAP keresési szűrőkről.