È abbastanza comune avere macchine Linux o UNIX su una rete con un dominio Microsoft Active Directory (AD). Ci possono essere momenti in cui si desidera o è necessario cercare Active Directory con ldapsearch.
Esempio rapido
Usando TLS
ldapsearch -H ldaps://dc.example.com -x -W -D "[email protected]" \ -b "dc=example,dc=com" "(sAMAccountName=user)"Senza TLS
ldapsearch -H ldap://dc.example.com -x -W -D "[email protected]" \ -b "dc=example,dc=com" "(sAMAccountName=user)"Se vuoi o hai bisogno di una guida più approfondita, continua a leggere.
Configura ldap.conf
Se si è ok con una connessione non crittografata, passare alla sezione successiva. Se possibile, è necessario ottenere il certificato dell’autorità di certificazione (CA) utilizzato per firmare il certificato AD server. Chiedi all’amministratore dell’ANNUNCIO di fornirlo in formato PEM. Se ciò non è possibile e se si è ragionevolmente sicuri che la connessione di rete non sia compromessa, è possibile utilizzare openssl per recuperare il certificato del server dal server. L’esempio seguente dimostra come farlo.
tyler@desktop:~$ openssl s_client -connect ldap.tylersguides.com:636 -showcerts Copia e incolla il testo del certificato dal certificato inferiore in un file. Io uso / pki / cacerts.pem. Il testo del certificato sarà simile a questo:
-----BEGIN CERTIFICATE-----MIIFdDCCBFygAwIBAgIQJ2buVutJ846r13Ci/ITeIjANBgkqhkiG9w0BAQwFADBvMQswCQYDVQQGEwJTRTEUMBIGA1UEChMLQWRkVHJ1c3QgQUIxJjAkBgNVBAsTHUFkZFRydXN0IEV4dGVybmFsIFRUUCBOZXR3b3JrMSIwIAYDVQQDExlBZGRUcnVzdCBFpu/xO28QOG8=-----END CERTIFICATE-----Apri ldap.conf con un editor di testo. Ecco dove trovarlo su vari sistemi operativi:
| OS | PERCORSO |
|---|---|
| Per saperne di più o negare il consenso a tutti o ad alcuni cookie clicca qui.conf | |
| Debian | /etc/ldap/ldap.conf |
| openSUSE | /etc/openldap/ldap.conf |
Aggiungi la riga
TLS_CACERT /pki/cacerts.pemal tuo file. Sostituire / pki / cacerts.pem con la posizione si mette l’annuncio CA cert se avete deciso di metterlo da qualche altra parte. Aggiungi anche la riga
TLS_REQCERT demandal tuo file. Nel caso in cui la tua rete sia compromessa, ciò impedirà all’attaccante di rubare le tue credenziali con un attacco man in the middle.
Cerca Active Directory con Ldapsearch
Utilizzare il seguente esempio, sostituendo i valori evidenziati per eseguire la ricerca. Se si è scelto di non utilizzare una connessione crittografata, utilizzare ldap:// invece di ldaps://
ldapsearch -H ldaps://dc.example.com -x -W -D "[email protected]" \ -b "dc=example,dc=com" "(filter)" "attr1" "attr2"| Opzione | Spiegazione |
|---|---|
| -H | L’URI del server di directory che si sta interrogando. |
| -x | Usa l’autenticazione semplice invece di SASL. |
| -W | Richiede la password. |
| -D | Il DN dell’utente con cui si sta autenticando. Quando si esegue l’interrogazione AD, questo sarà il nome utente dell’ANNUNCIO @ il tuo dominio. |
| -b | Dove nella directory per iniziare la ricerca. Se sai in che cosa sono le voci che stai cercando, puoi aggiungerle alla tua base. Ad esempio, se sai che vuoi cercare in un OU chiamato stuff, la tua base sarà simile a questa: “ou = stuff, dc = example, dc = com”. Se non sai in cosa si trova, è ok usare il tuo dominio. Ad esempio “dc=tylersguides, dc = com” |
| filtro | Il filtro di ricerca LDAP utilizzato per trovare le voci. Il filtro più semplice è alla ricerca di un attributo con un valore particolare. Ad esempio, se stai cercando un utente AD con il nome utente bob, utilizzerai il filtro “(sAMAccountName=bob)”. Se vuoi trovare tutti coloro che sono membri del gruppo cn=storage, ou = groups, dc = example, dc = com, useresti ” (memberOf = cn = storage, ou = groups, dc = example, dc = com)” |
| attr | Gli attributi che si desidera visualizzare. Ogni attributo deve essere separato con uno spazio. Alcuni comuni sono mail e memberOf. |
Se siete interessati, ho scritto una guida sui filtri di ricerca LDAP.