Det er ganske vanlig Å ha Linux-eller UNIX-maskiner på et nettverk med Et Microsoft Active Directory (AD) – domene. Det kan være ganger når du ønsker eller trenger å søke Active Directory med ldapsearch.
Hurtig Eksempel
Bruke TLS
ldapsearch -H ldaps://dc.example.com -x -W -D "[email protected]" \ -b "dc=example,dc=com" "(sAMAccountName=user)"
Uten TLS
ldapsearch -H ldap://dc.example.com -x -W -D "[email protected]" \ -b "dc=example,dc=com" "(sAMAccountName=user)"
hvis du vil ha eller trenger en mer grundig veiledning, fortsett å lese.
Konfigurer ldap.conf
hvis du er ok med en ukryptert tilkobling, hopper du til neste avsnitt. Hvis det er mulig, må du skaffe sertifikatet certificate authority (CA) som brukes til å signere AD server-sertifikatet. Be ANNONSEADMINISTRATOREN om å gi deg DETTE i PEM-format. Hvis dette ikke er mulig, og hvis du er rimelig sikker på at nettverkstilkoblingen ikke er kompromittert, kan du bruke openssl til å hente serversertifikatet fra serveren. Følgende eksempel viser hvordan du gjør dette.
tyler@desktop:~$ openssl s_client -connect ldap.tylersguides.com:636 -showcerts
Kopier og lim inn sertifikatteksten fra det nederste sertifikatet i en fil. Jeg bruker / pki / cacerts.pem. Sertifikatteksten vil se slik ut:
-----BEGIN CERTIFICATE-----MIIFdDCCBFygAwIBAgIQJ2buVutJ846r13Ci/ITeIjANBgkqhkiG9w0BAQwFADBvMQswCQYDVQQGEwJTRTEUMBIGA1UEChMLQWRkVHJ1c3QgQUIxJjAkBgNVBAsTHUFkZFRydXN0IEV4dGVybmFsIFRUUCBOZXR3b3JrMSIwIAYDVQQDExlBZGRUcnVzdCBFpu/xO28QOG8=-----END CERTIFICATE-----
Åpne ldap.conf med en tekst editor. Her er hvor du finner den på ulike operativsystemer:
OS | BANE |
---|---|
CentOS | /etc/openldap / ldap.conf |
Debian | / etc / ldap / ldap.conf |
OpenSUSE | /etc/openldap / ldap.conf |
Legg til linjen
TLS_CACERT /pki/cacerts.pem
i filen. Erstatt / pki / cacerts.pem med plasseringen du legger ANNONSEN CA cert hvis du bestemte deg for å sette den et annet sted. Legg til linjen
TLS_REQCERT demand
til filen din også. I tilfelle nettverket er kompromittert, dette vil hindre angriperen fra å stjele legitimasjon med en mann i midten angrep.
Søk I Active Directory Med Ldapsearch
Bruk følgende eksempel, og erstatt de uthevede verdiene for å utføre søket. Hvis du valgte å ikke bruke en kryptert tilkobling, bruk ldap: / / i stedet for ldaps://
ldapsearch -H ldaps://dc.example.com -x -W -D "[email protected]" \ -b "dc=example,dc=com" "(filter)" "attr1" "attr2"
Alternativ | Forklaring |
---|---|
-H | URI på katalogserveren du spør etter. |
-x | Bruk enkel godkjenning i stedet FOR SASL. |
-W | Ber deg om passordet ditt. |
-D | DN til brukeren du autentiserer med. Når du spør OM ANNONSE, blir DETTE ANNONSENS brukernavn @ domenet ditt. |
-b | Hvor i katalogen for å starte søket. Hvis DU vet HVA ou oppføringene du søker etter er i, kan du legge den til din base. For eksempel, hvis du vet at du vil se i EN ou kalt stuff, vil basen din se slik ut: «ou = ting, dc=eksempel, dc=com». Hvis du ikke vet HVA OU det er i, er det ok å bare bruke domenet. F. eks. «dc=tylersguides, dc=com» |
filter | LDAP-søkefilteret som brukes til å finne oppføringer. Det enkleste filteret ser etter et attributt med en bestemt verdi. Hvis du for eksempel ser etter EN ANNONSEBRUKER med brukernavnet bob, bruker du filteret » (sAMAccountName=bob)». Hvis du vil finne alle som er medlem av gruppen cn = storage, ou = groups, dc=example, dc=com, vil du bruke » (memberOf=cn = storage, ou = groups, dc=example, dc=com)» |
attr | attributtene du ønsker å vise. Hvert attributt skal skilles med et mellomrom. Noen vanlige er mail og membersof. |
Hvis du er interessert, skrev jeg en guide på LDAP-søkefiltre.