Ldap+Active Directory 使用入门

为什么80%的码农都做不了架构师?>>>   hot3.png

  1. LDP的用法

    下图是使用LDP对AD进行检索时,弹出的搜索条件输入框 Ldap+Active Directory 使用入门_第1张图片

    基本DN,又叫Base DN , 这个限定了查找的范围。 一般来说,不要太大,以免时间太长。像大数据平台一般有自己的OU,所以查询的时候,应该通过base dn,来限定,查找要在指定OU里面。例如:BASE DN= OU=Test,DC=PEAR,DC=COM
    筛选器,又叫filter ,又叫search  pattern ,这里是真正的查询条件。例如,我想查objectCategory是person的, 以及sAMAccountName 为任何字符的记录。实际上就是查所有的正常帐号。例如:(&(objectCategory=Person)(sAMAccountName=*))
    属性: 是返回的结果。 一个ldap实体,有很多属性。通过限制属性的输出,可以看自己需要了解的。
    
  2. Ldapsearch用法

    使用openldap命令行连接Active Directory Server或者openldap server,有一些基本要素是一样的,例如:

    • LDAP URL (-H ldaps://192.168.1.1:636 或者 -H ldap://192.168.1.1:389)
    • binding需要的用户名 (-D)
    • binding需要的密码 (-w password 或者 -W 输入密码)

    存在细微的差异的地方,主要是binding用户名的写法如果连ad,采用第一种写法,只会遇到无穷的错误。具体看下例:

       #open ldap command for open ldap server
       ldapsearch -H ldap://ldap.server:389 -tt -x -D "cn=inv_ou_admin,dc=dev,dc=com" -b "ou=UAT,DC=DEV,DC=COM" -W -LLL
       #open ldap command for active directory server
       ldapsearch -H ldap://ldap.server:389 -tt -x -D "[email protected]" -b "ou=UAT,DC=DEV,DC=COM" -W -LLL "(cn=Peter)"
       ldapsearch -H ldap://ldap.server:389 -tt -x -D "[email protected]" -b "ou=UAT,DC=DEV,DC=COM" -W -LLL "(|(cn=Mary)(cn=Peter))"
    
  3. Ldaps协议免证书

    正常情况下,使用ldaps协议,客户端要安装服务器证书。但是也是可以跳过的,下面介绍具体的方法:

    LDAP_CONF=`mktemp /tmp/cm_ldap.XXXXXXXX`
    echo "TLS_REQCERT     never" >> $LDAP_CONF
    echo "sasl_secprops   minssf=0,maxssf=0" >> $LDAP_CONF
    export LDAPCONF=$LDAP_CONF
    

    这样做完之后,运行openldap命令时,会根据$LDAPCONF设置,不验证书了。

  4. Ldapmodify用法

    通过openloap命令行,可以新增、删除和修改openldap 实体。

    1. 增加用户
    #增加用户的adduser.ldif文件
    -----------------------------
    dn:CN=jsmith1,OU=INV,DC=DEV,DC=COM
    changetype: add
    objectClass: user
    distinguishedName: CN=jsmith1,OU=INV,DC=dev,DC=com
    sAMAccountName: jsimith
    unicodePwd:: IgBTAHAAZABiAEAAMQAyADMANAAiAA==
    userPrincipalName: [email protected]
    accountExpires: 0
    userAccountControl:512
    
    #执行增加用户的命令
    ldapmodify -H ldaps://192.168.1.1:636 -x  -D [email protected] -w dev@1234 -f adduser.ldif
    
    #生成密码的命令
    echo -n "\"$PASSWD\"" | iconv -f UTF8 -t UTF16LE| base64 -w 0
    
    

    2.修改用户组。 如果希望把用户jsmith增加到default组,可以参考以下案例:

    #修改用户组的chgrp.ldif文件
    -----------------------------
    dn: cn= default,ou=INV,dc=DEV,dc=COM
    changetype: modify
    add: member
    member: CN=jsmith1,OU=INV,DC=DEV,DC=COM
    
    #执行增加用户的命令
    ldapmodify -H ldaps://192.168.1.1:636 -x  -D [email protected] -w dev@1234 -f chgrp.ldif
    

    3.修改用户密码。 如果需要修改用户jsmith的密码,可以参考以下案例:

    #修改用户组的chpass.ldif文件
    -----------------------------
    dn: CN=jsmith1,OU=INV,DC=DEV,DC=COM
    changetype: modify
    delete: unicodePwd
    unicodePwd:: IgB==
    -
    add: unicodePwd
    unicodePwd:: IgB1134ddf==
    -
    #执行增加用户的命令
    ldapmodify -H ldaps://192.168.1.1:636 -x  -D [email protected] -w dev@1234 -f chpass.ldif
    

转载于:https://my.oschina.net/pearma/blog/1507476

你可能感兴趣的:(Ldap+Active Directory 使用入门)