det är ganska vanligt att ha Linux – eller UNIX-maskiner i ett nätverk med en Microsoft Active Directory (AD) – domän. Det kan finnas tillfällen när du vill eller behöver söka Active Directory med ldapsearch.
snabb exempel
använda TLS
ldapsearch -H ldaps://dc.example.com -x -W -D "[email protected]" \ -b "dc=example,dc=com" "(sAMAccountName=user)"utan TLS
ldapsearch -H ldap://dc.example.com -x -W -D "[email protected]" \ -b "dc=example,dc=com" "(sAMAccountName=user)"om du vill eller behöver en mer djupgående guide, Fortsätt läsa.
konfigurera ldap.conf
om du är ok med en okrypterad anslutning, Hoppa till nästa avsnitt. Om möjligt måste du skaffa certifikatet certifikatutfärdare (ca) som används för att signera AD server-certifikatet. Be din ANNONSADMINISTRATÖR att tillhandahålla detta åt dig i PEM-format. Om detta inte är möjligt och om du är ganska säker på att din nätverksanslutning inte äventyras kan du använda openssl för att hämta servercertifikatet från servern. Följande exempel visar hur man gör detta.
tyler@desktop:~$ openssl s_client -connect ldap.tylersguides.com:636 -showcerts kopiera och klistra in certifikattexten från det nedre certifikatet i en fil. Jag använder /pki / cacerts.pem. Certifikattexten kommer att se ut så här:
-----BEGIN CERTIFICATE-----MIIFdDCCBFygAwIBAgIQJ2buVutJ846r13Ci/ITeIjANBgkqhkiG9w0BAQwFADBvMQswCQYDVQQGEwJTRTEUMBIGA1UEChMLQWRkVHJ1c3QgQUIxJjAkBgNVBAsTHUFkZFRydXN0IEV4dGVybmFsIFRUUCBOZXR3b3JrMSIwIAYDVQQDExlBZGRUcnVzdCBFpu/xO28QOG8=-----END CERTIFICATE-----öppna ldap.conf med en textredigerare. Här hittar du det på olika operativsystem:
| OS | sökväg |
|---|---|
| CentOS | /etc/openldap / ldap.conf |
| Debian | /etc/ldap / ldap.conf |
| OpenSUSE | /etc/openldap / ldap.conf |
Lägg till raden
TLS_CACERT /pki/cacerts.pemi din fil. Ersätta/pki / cacerts.pem med den plats du lägger ad CA cert om du bestämde dig för att lägga den någon annanstans. Lägg till raden
TLS_REQCERT demandtill din fil också. Om ditt nätverk äventyras kommer detta att förhindra att angriparen stjäl dina referenser med en man i mitten attack.
Sök Active Directory med Ldapsearch
använd följande exempel och ersätt de markerade värdena för att utföra sökningen. Om du valde att inte använda en krypterad anslutning använder du ldap: / / istället för ldaps://
ldapsearch -H ldaps://dc.example.com -x -W -D "[email protected]" \ -b "dc=example,dc=com" "(filter)" "attr1" "attr2"| alternativ | förklaring |
|---|---|
| -H | URI för den katalogserver du frågar. |
| -x | Använd enkel autentisering istället för SASL. |
| -W | fråga dig om ditt lösenord. |
| -D | DN för användaren du autentiserar med. När du frågar annons kommer detta att vara ditt ANNONSANVÄNDARNAMN @ din domän. |
| -b | var i katalogen för att starta din sökning. Om du vet vilka ou de poster du söker efter finns i kan du lägga till den i din bas. Om du till exempel vet att du vill titta i en OU som heter stuff, kommer din bas att se ut så här: ”ou=Grejer, dc=exempel, dc = com”. Om du inte vet vad OU det är i är det ok att bara använda din domän. T. ex. ”dc = tylersguides, dc = com” |
| filter | LDAP-sökfiltret används för att hitta poster. Det enklaste filtret letar efter ett attribut med ett visst värde. Om du till exempel letar efter en ANNONSANVÄNDARE med användarnamnet bob, skulle du använda filtret ”(sAMAccountName=bob)”. Om du vill hitta alla som är medlemmar i gruppen cn=storage, ou=groups, dc = example, dc = com, skulle du använda ”(memberOf=cn=storage, ou=groups, dc=example, dc = com)” |
| attR | de attribut du vill visa. Varje attribut ska separeras med ett mellanslag. Några vanliga är mail och memberOf. |
om du är intresserad skrev jag en guide om LDAP-sökfilter.