Søk Active Directory Med Ldapsearch

Det er ganske vanlig Å ha Linux-eller UNIX-maskiner på et nettverk med Et Microsoft Active Directory (AD) – domene. Det kan være ganger når du ønsker eller trenger å søke Active Directory med ldapsearch.

Hurtig Eksempel

Bruke TLS

ldapsearch -H ldaps://dc.example.com -x -W -D "[email protected]" \ -b "dc=example,dc=com" "(sAMAccountName=user)"

Uten TLS

ldapsearch -H ldap://dc.example.com -x -W -D "[email protected]" \ -b "dc=example,dc=com" "(sAMAccountName=user)"

hvis du vil ha eller trenger en mer grundig veiledning, fortsett å lese.

Konfigurer ldap.conf

hvis du er ok med en ukryptert tilkobling, hopper du til neste avsnitt. Hvis det er mulig, må du skaffe sertifikatet certificate authority (CA) som brukes til å signere AD server-sertifikatet. Be ANNONSEADMINISTRATOREN om å gi deg DETTE i PEM-format. Hvis dette ikke er mulig, og hvis du er rimelig sikker på at nettverkstilkoblingen ikke er kompromittert, kan du bruke openssl til å hente serversertifikatet fra serveren. Følgende eksempel viser hvordan du gjør dette.

tyler@desktop:~$ openssl s_client -connect ldap.tylersguides.com:636 -showcerts 

Kopier og lim inn sertifikatteksten fra det nederste sertifikatet i en fil. Jeg bruker / pki / cacerts.pem. Sertifikatteksten vil se slik ut:

-----BEGIN CERTIFICATE-----MIIFdDCCBFygAwIBAgIQJ2buVutJ846r13Ci/ITeIjANBgkqhkiG9w0BAQwFADBvMQswCQYDVQQGEwJTRTEUMBIGA1UEChMLQWRkVHJ1c3QgQUIxJjAkBgNVBAsTHUFkZFRydXN0IEV4dGVybmFsIFRUUCBOZXR3b3JrMSIwIAYDVQQDExlBZGRUcnVzdCBFpu/xO28QOG8=-----END CERTIFICATE-----

Åpne ldap.conf med en tekst editor. Her er hvor du finner den på ulike operativsystemer:

OS BANE
CentOS /etc/openldap / ldap.conf
Debian / etc / ldap / ldap.conf
OpenSUSE /etc/openldap / ldap.conf

Legg til linjen

TLS_CACERT /pki/cacerts.pem

i filen. Erstatt / pki / cacerts.pem med plasseringen du legger ANNONSEN CA cert hvis du bestemte deg for å sette den et annet sted. Legg til linjen

TLS_REQCERT demand

til filen din også. I tilfelle nettverket er kompromittert, dette vil hindre angriperen fra å stjele legitimasjon med en mann i midten angrep.

Søk I Active Directory Med Ldapsearch

Bruk følgende eksempel, og erstatt de uthevede verdiene for å utføre søket. Hvis du valgte å ikke bruke en kryptert tilkobling, bruk ldap: / / i stedet for ldaps://

ldapsearch -H ldaps://dc.example.com -x -W -D "[email protected]" \ -b "dc=example,dc=com" "(filter)" "attr1" "attr2"
Alternativ Forklaring
-H URI på katalogserveren du spør etter.
-x Bruk enkel godkjenning i stedet FOR SASL.
-W Ber deg om passordet ditt.
-D DN til brukeren du autentiserer med. Når du spør OM ANNONSE, blir DETTE ANNONSENS brukernavn @ domenet ditt.
-b Hvor i katalogen for å starte søket. Hvis DU vet HVA ou oppføringene du søker etter er i, kan du legge den til din base. For eksempel, hvis du vet at du vil se i EN ou kalt stuff, vil basen din se slik ut: «ou = ting, dc=eksempel, dc=com». Hvis du ikke vet HVA OU det er i, er det ok å bare bruke domenet. F. eks. «dc=tylersguides, dc=com»
filter LDAP-søkefilteret som brukes til å finne oppføringer. Det enkleste filteret ser etter et attributt med en bestemt verdi. Hvis du for eksempel ser etter EN ANNONSEBRUKER med brukernavnet bob, bruker du filteret » (sAMAccountName=bob)». Hvis du vil finne alle som er medlem av gruppen cn = storage, ou = groups, dc=example, dc=com, vil du bruke » (memberOf=cn = storage, ou = groups, dc=example, dc=com)»
attr attributtene du ønsker å vise. Hvert attributt skal skilles med et mellomrom. Noen vanlige er mail og membersof.

Hvis du er interessert, skrev jeg en guide på LDAP-søkefiltre.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert.

More: