Ldap+Active Directory 使用入门

为什么80%的码农都做不了架构师？>>>   

1. LDP的用法

   下图是使用LDP对AD进行检索时，弹出的搜索条件输入框

   基本DN，又叫Base DN , 这个限定了查找的范围。 一般来说，不要太大，以免时间太长。像大数据平台一般有自己的OU，所以查询的时候，应该通过base dn，来限定，查找要在指定OU里面。例如：BASE DN= OU=Test,DC=PEAR,DC=COM
   筛选器，又叫filter ,又叫search  pattern ，这里是真正的查询条件。例如，我想查objectCategory是person的， 以及sAMAccountName 为任何字符的记录。实际上就是查所有的正常帐号。例如：(&(objectCategory=Person)(sAMAccountName=*))
   属性：　是返回的结果。　一个ldap实体，有很多属性。通过限制属性的输出，可以看自己需要了解的。
   

2. Ldapsearch用法

   使用openldap命令行连接Active Directory Server或者openldap server，有一些基本要素是一样的，例如：

   • LDAP URL （-H ldaps://192.168.1.1:636 或者 -H ldap://192.168.1.1:389）
   • binding需要的用户名 (-D)
   • binding需要的密码 (-w password 或者 -W 输入密码)

   存在细微的差异的地方，主要是binding用户名的写法如果连ad,采用第一种写法，只会遇到无穷的错误。具体看下例：

      #open ldap command for open ldap server
      ldapsearch -H ldap://ldap.server:389 -tt -x -D "cn=inv_ou_admin,dc=dev,dc=com" -b "ou=UAT,DC=DEV,DC=COM" -W -LLL
      #open ldap command for active directory server
      ldapsearch -H ldap://ldap.server:389 -tt -x -D "[email protected]" -b "ou=UAT,DC=DEV,DC=COM" -W -LLL "(cn=Peter)"
      ldapsearch -H ldap://ldap.server:389 -tt -x -D "[email protected]" -b "ou=UAT,DC=DEV,DC=COM" -W -LLL "(|(cn=Mary)(cn=Peter))"
   

3. Ldaps协议免证书

   正常情况下，使用ldaps协议，客户端要安装服务器证书。但是也是可以跳过的,下面介绍具体的方法:

   LDAP_CONF=`mktemp /tmp/cm_ldap.XXXXXXXX`
   echo "TLS_REQCERT     never" >> $LDAP_CONF
   echo "sasl_secprops   minssf=0,maxssf=0" >> $LDAP_CONF
   export LDAPCONF=$LDAP_CONF
   

   这样做完之后，运行openldap命令时，会根据$LDAPCONF设置，不验证书了。

4. Ldapmodify用法

   通过openloap命令行，可以新增、删除和修改openldap 实体。

   1. 增加用户

   #增加用户的adduser.ldif文件
   -----------------------------
   dn:CN=jsmith1,OU=INV,DC=DEV,DC=COM
   changetype: add
   objectClass: user
   distinguishedName: CN=jsmith1,OU=INV,DC=dev,DC=com
   sAMAccountName: jsimith
   unicodePwd:: IgBTAHAAZABiAEAAMQAyADMANAAiAA==
   userPrincipalName: [email protected]
   accountExpires: 0
   userAccountControl:512
   
   #执行增加用户的命令
   ldapmodify -H ldaps://192.168.1.1:636 -x  -D [email protected] -w dev@1234 -f adduser.ldif
   
   #生成密码的命令
   echo -n "\"$PASSWD\"" | iconv -f UTF8 -t UTF16LE| base64 -w 0
   
   

   2.修改用户组。 如果希望把用户jsmith增加到default组，可以参考以下案例：

   #修改用户组的chgrp.ldif文件
   -----------------------------
   dn: cn= default,ou=INV,dc=DEV,dc=COM
   changetype: modify
   add: member
   member: CN=jsmith1,OU=INV,DC=DEV,DC=COM
   
   #执行增加用户的命令
   ldapmodify -H ldaps://192.168.1.1:636 -x  -D [email protected] -w dev@1234 -f chgrp.ldif
   

   3.修改用户密码。 如果需要修改用户jsmith的密码，可以参考以下案例：

   #修改用户组的chpass.ldif文件
   -----------------------------
   dn: CN=jsmith1,OU=INV,DC=DEV,DC=COM
   changetype: modify
   delete: unicodePwd
   unicodePwd:: IgB==
   -
   add: unicodePwd
   unicodePwd:: IgB1134ddf==
   -
   #执行增加用户的命令
   ldapmodify -H ldaps://192.168.1.1:636 -x  -D [email protected] -w dev@1234 -f chpass.ldif
   

转载于:https://my.oschina.net/pearma/blog/1507476