Sök Active Directory med Ldapsearch

det är ganska vanligt att ha Linux – eller UNIX-maskiner i ett nätverk med en Microsoft Active Directory (AD) – domän. Det kan finnas tillfällen när du vill eller behöver söka Active Directory med ldapsearch.

snabb exempel

använda TLS

ldapsearch -H ldaps://dc.example.com -x -W -D "[email protected]" \ -b "dc=example,dc=com" "(sAMAccountName=user)"

utan TLS

ldapsearch -H ldap://dc.example.com -x -W -D "[email protected]" \ -b "dc=example,dc=com" "(sAMAccountName=user)"

om du vill eller behöver en mer djupgående guide, Fortsätt läsa.

konfigurera ldap.conf

om du är ok med en okrypterad anslutning, Hoppa till nästa avsnitt. Om möjligt måste du skaffa certifikatet certifikatutfärdare (ca) som används för att signera AD server-certifikatet. Be din ANNONSADMINISTRATÖR att tillhandahålla detta åt dig i PEM-format. Om detta inte är möjligt och om du är ganska säker på att din nätverksanslutning inte äventyras kan du använda openssl för att hämta servercertifikatet från servern. Följande exempel visar hur man gör detta.

tyler@desktop:~$ openssl s_client -connect ldap.tylersguides.com:636 -showcerts 

kopiera och klistra in certifikattexten från det nedre certifikatet i en fil. Jag använder /pki / cacerts.pem. Certifikattexten kommer att se ut så här:

-----BEGIN CERTIFICATE-----MIIFdDCCBFygAwIBAgIQJ2buVutJ846r13Ci/ITeIjANBgkqhkiG9w0BAQwFADBvMQswCQYDVQQGEwJTRTEUMBIGA1UEChMLQWRkVHJ1c3QgQUIxJjAkBgNVBAsTHUFkZFRydXN0IEV4dGVybmFsIFRUUCBOZXR3b3JrMSIwIAYDVQQDExlBZGRUcnVzdCBFpu/xO28QOG8=-----END CERTIFICATE-----

öppna ldap.conf med en textredigerare. Här hittar du det på olika operativsystem:

OS sökväg
CentOS /etc/openldap / ldap.conf
Debian /etc/ldap / ldap.conf
OpenSUSE /etc/openldap / ldap.conf

Lägg till raden

TLS_CACERT /pki/cacerts.pem

i din fil. Ersätta/pki / cacerts.pem med den plats du lägger ad CA cert om du bestämde dig för att lägga den någon annanstans. Lägg till raden

TLS_REQCERT demand

till din fil också. Om ditt nätverk äventyras kommer detta att förhindra att angriparen stjäl dina referenser med en man i mitten attack.

Sök Active Directory med Ldapsearch

använd följande exempel och ersätt de markerade värdena för att utföra sökningen. Om du valde att inte använda en krypterad anslutning använder du ldap: / / istället för ldaps://

ldapsearch -H ldaps://dc.example.com -x -W -D "[email protected]" \ -b "dc=example,dc=com" "(filter)" "attr1" "attr2"
alternativ förklaring
-H URI för den katalogserver du frågar.
-x Använd enkel autentisering istället för SASL.
-W fråga dig om ditt lösenord.
-D DN för användaren du autentiserar med. När du frågar annons kommer detta att vara ditt ANNONSANVÄNDARNAMN @ din domän.
-b var i katalogen för att starta din sökning. Om du vet vilka ou de poster du söker efter finns i kan du lägga till den i din bas. Om du till exempel vet att du vill titta i en OU som heter stuff, kommer din bas att se ut så här: ”ou=Grejer, dc=exempel, dc = com”. Om du inte vet vad OU det är i är det ok att bara använda din domän. T. ex. ”dc = tylersguides, dc = com”
filter LDAP-sökfiltret används för att hitta poster. Det enklaste filtret letar efter ett attribut med ett visst värde. Om du till exempel letar efter en ANNONSANVÄNDARE med användarnamnet bob, skulle du använda filtret ”(sAMAccountName=bob)”. Om du vill hitta alla som är medlemmar i gruppen cn=storage, ou=groups, dc = example, dc = com, skulle du använda ”(memberOf=cn=storage, ou=groups, dc=example, dc = com)”
attR de attribut du vill visa. Varje attribut ska separeras med ett mellanslag. Några vanliga är mail och memberOf.

om du är intresserad skrev jag en guide om LDAP-sökfilter.

Lämna ett svar

Din e-postadress kommer inte publiceras.

More: