Ldap+Active Directory 使用入门
博客专区 > pearma 的博客 > 博客详情
Ldap+Active Directory 使用入门
pearma 发表于4个月前
Ldap+Active Directory 使用入门
  • 发表于 4个月前
  • 阅读 5
  • 收藏 0
  • 点赞 0
  • 评论 0

腾讯云 新注册用户 域名抢购1元起>>>   

  1. LDP的用法

    下图是使用LDP对AD进行检索时,弹出的搜索条件输入框 ldap配置

    基本DN,又叫Base DN , 这个限定了查找的范围。 一般来说,不要太大,以免时间太长。像大数据平台一般有自己的OU,所以查询的时候,应该通过base dn,来限定,查找要在指定OU里面。例如:BASE DN= OU=Test,DC=PEAR,DC=COM
    筛选器,又叫filter ,又叫search  pattern ,这里是真正的查询条件。例如,我想查objectCategory是person的, 以及sAMAccountName 为任何字符的记录。实际上就是查所有的正常帐号。例如:(&(objectCategory=Person)(sAMAccountName=*))
    属性: 是返回的结果。 一个ldap实体,有很多属性。通过限制属性的输出,可以看自己需要了解的。
    
  2. Ldapsearch用法

    使用openldap命令行连接Active Directory Server或者openldap server,有一些基本要素是一样的,例如:

    存在细微的差异的地方,主要是binding用户名的写法如果连ad,采用第一种写法,只会遇到无穷的错误。具体看下例:

       #open ldap command for open ldap server
       ldapsearch -H ldap://ldap.server:389 -tt -x -D "cn=inv_ou_admin,dc=dev,dc=com" -b "ou=UAT,DC=DEV,DC=COM" -W -LLL
       #open ldap command for active directory server
       ldapsearch -H ldap://ldap.server:389 -tt -x -D "inv_ou_admin@DEV.COM" -b "ou=UAT,DC=DEV,DC=COM" -W -LLL
    
  3. Ldaps协议免证书

    正常情况下,使用ldaps协议,客户端要安装服务器证书。但是也是可以跳过的,下面介绍具体的方法:

    LDAP_CONF=`mktemp /tmp/cm_ldap.XXXXXXXX`
    echo "TLS_REQCERT     never" >> $LDAP_CONF
    echo "sasl_secprops   minssf=0,maxssf=0" >> $LDAP_CONF
    export LDAPCONF=$LDAP_CONF
    

    这样做完之后,运行openldap命令时,会根据$LDAPCONF设置,不验证书了。

  4. Ldapmodify用法

    通过openloap命令行,可以新增、删除和修改openldap 实体。

    1. 增加用户
    #增加用户的adduser.ldif文件
    -----------------------------
    dn:CN=jsmith1,OU=INV,DC=DEV,DC=COM
    changetype: add
    objectClass: user
    distinguishedName: CN=jsmith1,OU=INV,DC=dev,DC=com
    sAMAccountName: jsimith
    unicodePwd:: IgBTAHAAZABiAEAAMQAyADMANAAiAA==
    userPrincipalName: jsmith1@DEV.COM
    accountExpires: 0
    userAccountControl:512
    
    #执行增加用户的命令
    ldapmodify -H ldaps://192.168.1.1:636 -x  -D ou_admin@DEV.COM -w dev@1234 -f adduser.ldif
    
    #生成密码的命令
    echo -n "\"$PASSWD\"" | iconv -f UTF8 -t UTF16LE| base64 -w 0
    
    

    2.修改用户组。 如果希望把用户jsmith增加到default组,可以参考以下案例:

    #修改用户组的chgrp.ldif文件
    -----------------------------
    dn: cn= default,ou=INV,dc=DEV,dc=COM
    changetype: modify
    add: member
    member: CN=jsmith1,OU=INV,DC=DEV,DC=COM
    
    #执行增加用户的命令
    ldapmodify -H ldaps://192.168.1.1:636 -x  -D ou_admin@DEV.COM -w dev@1234 -f chgrp.ldif
    

    3.修改用户密码。 如果需要修改用户jsmith的密码,可以参考以下案例:

    #修改用户组的chpass.ldif文件
    -----------------------------
    dn: CN=jsmith1,OU=INV,DC=DEV,DC=COM
    changetype: modify
    delete: unicodePwd
    unicodePwd:: IgB==
    -
    add: unicodePwd
    unicodePwd:: IgB1134ddf==
    -
    #执行增加用户的命令
    ldapmodify -H ldaps://192.168.1.1:636 -x  -D ou_admin@DEV.COM -w dev@1234 -f chpass.ldif
    
共有 人打赏支持
粉丝 4
博文 50
码字总数 19653
×
pearma
如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!
* 金额(元)
¥1 ¥5 ¥10 ¥20 其他金额
打赏人
留言
* 支付类型
微信扫码支付
打赏金额:
已支付成功
打赏金额: