Ldap+Active Directory 使用入门

最新推荐文章于 2025-05-24 10:57:16 发布
最新推荐文章于 2025-05-24 10:57:16 发布
阅读量2k 收藏 1
点赞数 1
CC 4.0 BY-SA版权
文章标签: ldap 运维 大数据
原文链接:https://my.oschina.net/pearma/blog/1507476
本文详细介绍了如何使用LDP和ldapsearch等工具进行AD检索,包括设置基本DN、筛选器及属性等参数;并通过实例展示了如何利用openldap命令行工具连接Active Directory Server或OpenLDAP Server,并介绍了如何绕过证书验证。此外,还提供了使用ldapmodify命令进行实体增删改的具体步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

为什么80%的码农都做不了架构师?>>>   hot3.png

  1. LDP的用法

    下图是使用LDP对AD进行检索时,弹出的搜索条件输入框 ldap配置

    基本DN,又叫Base DN , 这个限定了查找的范围。 一般来说,不要太大,以免时间太长。像大数据平台一般有自己的OU,所以查询的时候,应该通过base dn,来限定,查找要在指定OU里面。例如:BASE DN= OU=Test,DC=PEAR,DC=COM
筛选器,又叫filter ,又叫search  pattern ,这里是真正的查询条件。例如,我想查objectCategory是person的, 以及sAMAccountName 为任何字符的记录。实际上就是查所有的正常帐号。例如:(&(objectCategory=Person)(sAMAccountName=*))
属性: 是返回的结果。 一个ldap实体,有很多属性。通过限制属性的输出,可以看自己需要了解的。

  2. Ldapsearch用法

    使用openldap命令行连接Active Directory Server或者openldap server,有一些基本要素是一样的,例如:

    • LDAP URL (-H ldaps://192.168.1.1:636 或者 -H ldap://192.168.1.1:389)
    • binding需要的用户名 (-D)
    • binding需要的密码 (-w password 或者 -W 输入密码)

    存在细微的差异的地方,主要是binding用户名的写法如果连ad,采用第一种写法,只会遇到无穷的错误。具体看下例:

       #open ldap command for open ldap server
   ldapsearch -H ldap://ldap.server:389 -tt -x -D "cn=inv_ou_admin,dc=dev,dc=com" -b "ou=UAT,DC=DEV,DC=COM" -W -LLL
   #open ldap command for active directory server
   ldapsearch -H ldap://ldap.server:389 -tt -x -D "inv_ou_admin@DEV.COM" -b "ou=UAT,DC=DEV,DC=COM" -W -LLL "(cn=Peter)"
   ldapsearch -H ldap://ldap.server:389 -tt -x -D "inv_ou_admin@DEV.COM" -b "ou=UAT,DC=DEV,DC=COM" -W -LLL "(|(cn=Mary)(cn=Peter))"

  3. Ldaps协议免证书

    正常情况下,使用ldaps协议,客户端要安装服务器证书。但是也是可以跳过的,下面介绍具体的方法:

    LDAP_CONF=`mktemp /tmp/cm_ldap.XXXXXXXX`
echo "TLS_REQCERT     never" >> $LDAP_CONF
echo "sasl_secprops   minssf=0,maxssf=0" >> $LDAP_CONF
export LDAPCONF=$LDAP_CONF

    这样做完之后,运行openldap命令时,会根据$LDAPCONF设置,不验证书了。

  4. Ldapmodify用法

    通过openloap命令行,可以新增、删除和修改openldap 实体。

    1. 增加用户
    #增加用户的adduser.ldif文件
-----------------------------
dn:CN=jsmith1,OU=INV,DC=DEV,DC=COM
changetype: add
objectClass: user
distinguishedName: CN=jsmith1,OU=INV,DC=dev,DC=com
sAMAccountName: jsimith
unicodePwd:: IgBTAHAAZABiAEAAMQAyADMANAAiAA==
userPrincipalName: jsmith1@DEV.COM
accountExpires: 0
userAccountControl:512

#执行增加用户的命令
ldapmodify -H ldaps://192.168.1.1:636 -x  -D ou_admin@DEV.COM -w dev@1234 -f adduser.ldif

#生成密码的命令
echo -n "\"$PASSWD\"" | iconv -f UTF8 -t UTF16LE| base64 -w 0

    2.修改用户组。 如果希望把用户jsmith增加到default组,可以参考以下案例:

    #修改用户组的chgrp.ldif文件
-----------------------------
dn: cn= default,ou=INV,dc=DEV,dc=COM
changetype: modify
add: member
member: CN=jsmith1,OU=INV,DC=DEV,DC=COM

#执行增加用户的命令
ldapmodify -H ldaps://192.168.1.1:636 -x  -D ou_admin@DEV.COM -w dev@1234 -f chgrp.ldif

    3.修改用户密码。 如果需要修改用户jsmith的密码,可以参考以下案例:

    #修改用户组的chpass.ldif文件
-----------------------------
dn: CN=jsmith1,OU=INV,DC=DEV,DC=COM
changetype: modify
delete: unicodePwd
unicodePwd:: IgB==
-
add: unicodePwd
unicodePwd:: IgB1134ddf==
-
#执行增加用户的命令
ldapmodify -H ldaps://192.168.1.1:636 -x  -D ou_admin@DEV.COM -w dev@1234 -f chpass.ldif

转载于:https://my.oschina.net/pearma/blog/1507476

为Microsoft Active Directory服务器启用基于SSL的LDAP(LDAPS)
谢公子的博客
04-22 3366
使用OpenSSL,创建新的私钥和根证书。执行如下命令,将生成文件 ca.key 和 ca.crt openssl genrsa -aes256 -out ca.key 4096 openssl req -new -x509 -days 3650 -key ca.key -out ca.crt 参考文章:https://gist.github.com/magnetikonline/0ccdabfec58eb1929c997d22e7341e45 ...
Kerberos面试内容整理-Kerberos 与 LDAP/Active Directory 的集成
最新发布
不务正业的猿
05-31 353
Kerberos通常与目录服务(如Active Directory)结合使用,实现企业身份认证与管理。AD将LDAP目录和Kerberos认证融合,其中LDAP存储用户/组信息,Kerberos负责认证。用户密码既用于Kerberos验证也存储于目录,登录时Kerberos颁发票据,AD提供用户组信息。服务账号的SPN属性存储在AD中,方便Kerberos自动发现服务密钥。非Windows环境也可通过集成OpenLDAP和MIT Kerberos实现类似架构,FreeIPA是这类开源方案的代表。Kerber
LDAP基础:AD:运行在容器中的Active Directory服务
知行合一 止于至善
08-30 3316
这篇文章介绍一下一个用于使用容器化方式验证微软的Active Directory的方式,可以通过容器化的方式启动AD的服务,但是镜像到目前为止已经四年没有更新了,但经过验证,发现还可以用,在本地需要搭建测试环境的时候,可以考虑使用这个镜像凑合一下。
java ldap 访问 Active Directory
lxgood8的专栏
03-20 3288
package   com.faw_qm.ldap;         /**       *   Title:   LDAP       *       *   Description:          *       *   Copyright:   Copyright   (c)   2005.09.23       *       *   Company:   Faw_QM       *
Active Directory - LDAP 工具类
分享·收获
05-31 835
// 配置属性 ldap.url=ldaps://****:1234 ldap.searchBase=OU=users123,DC=zz,DC=zzzz ldap.groupBase=OU=xxxx,OU=yyyyy,DC=zz,DC=zzzz ldap.loginMod=simple ldap.username=test1234 # 密码不能明文,AES加密 ldap.password=ao...
AD(Active Directory)和LDAP
谢公子的博客
07-23 3143
目录 LDAP AD(Active Directory) LDAP LDAP(Lightweight Directory Access Protocol)轻量目录访问协议。顾名思义,LDAP是设计用来访问目录数据库的一个协议。 在这之前我们先介绍一下目录服务。目录服务是由目录服务数据库和目录访问协议组成。 目录服务数据库也是一种数据库,这种数据库相对于我们熟知的关系型数据库(比如MySQL,Oracle),主要有以下几个方面的特点。 它成树状结构组织数据,类似文件目录一样。 它是
1、 Active Directory管理指南:从入门到精通
weixin_35762258的博客
05-22 53
本博客从入门到精通详细介绍了Active Directory(AD)的管理技巧,涵盖工具获取、环境准备、常见任务解决方案以及最佳实践。同时深入探讨了高级管理技术,如跨平台管理、虚拟化应用和安全加固策略,并提供了丰富的脚本示例和社区资源推荐,帮助读者全面提升AD管理能力。
AD系统安装配置指南+LDAP详解 IBM Tivoli Directory Server 从入门到精通
03-31
在IT领域,活动目录(Active Directory,简称AD)和轻量级目录访问协议(Lightweight Directory Access Protocol,简称LDAP)是两种重要的身份管理和目录服务技术。本文将详细讲解AD系统安装配置以及IBM Tivoli ...
node-red-contrib-activedirectory:Microsoft Active Directory 的 Node-RED 节点集合
07-23
Node-RED 的 ActiveDirectory node-red-contrib-activedirectory 是 Microsoft Active Directory 的节点集合。 它基于用于 Microsoft Active Directory 的 auth(身份验证)和 authZ(授权)的 ldapjs 客户端(文档...
3、 管理Active Directory域控制器:从入门到精通
weixin_35762258的博客
05-24 42
本博文深入探讨了Active Directory域控制器的管理方法,从基础操作如提升和降级域控制器到高级配置如FSMO角色转移、全局编录启用等。同时涵盖了故障排查技巧以及优化性能的最佳实践,适合新手学习及有经验管理员深入掌握相关技术。
Active Directory 域服务(AD DS)
ch258563的博客
03-02 4668
Active Directory 域服务(AD DS)
通过LDAP验证Active Directory服务
走马观花
01-04 1000
http://www.cnblogs.com/icuit/archive/2010/06/10/1755575.html   这一周做LDAP做得头都大了。现在终于有点头绪了,记录一下,以备后用。   LDAP是什么? LDAP是轻量级目录访问协议,英文全称是Lightweight Directory Access Protocol,一般都简称为LDAP. 一般用来构建集中的身份验
将Microsoft Windows Active Directory服务器作为传递身份验证服务器集成到IBM Tivoli Directory Server...
cusi77914的博客
06-20 367
总览 在异构环境中,集中用户和组是一项繁琐的任务。 对于管理员而言,将用户和组及其属性部署在同一服务器上并从异构客户端进行管理始终是一项艰巨的任务。 当需要在客户端系统上授予用户访问权限时,可以在服务器级别或客户端级别验证用户凭据。 在异构环境中,所有客户端可能无法理解用于验证用户凭据的服务器密码加密算法。 因此,服务器应验证用户凭据,并根据客户端的功能向客户端授予对用户的访问权限。 ...
OpenLDAP Active Directory集成步骤
本博客暂停使用
12-11 807
centos7 open*** 集成AD域
LDAPActive Directory(AD)的关系
marylgao技术专栏
10-10 1076
LDAP:是一种目录服务协议,该协议定义了如何去访问目录服务器以及相关的API AD :是目录服务器中的一种,是Windows 2000网络中的目录服务器。 关系:我们可以通过LDAP协议去访问AD目录服务器,同时对AD目录服务器的数据进行操作和查询操作。 其他目录服务器还有如OpenLDAP等。 ...
LDAPActive Directory 的区别
网络技术联盟站
04-17 1297
LDAP(轻量级目录访问协议)和Active Directory(AD)是两种常见的目录服务,它们在企业网络中扮演着关键的角色。虽然它们之间有一些相似之处,但也存在着一些显著的区别。本文将详细介绍LDAPActive Directory之间的区别。
LDAP概念和原理介绍
03-08 758
LDAP概念和原理介绍 相信对于许多的朋友来说,可能听说过LDAP,但是实际中对LDAP的了解和具体的原理可能还比较模糊,今天就从“什么是LDAP”、“LDAP的主要产品”、“LDAP的基本模型”、“LDAP使用案例”四个方面来做一个介绍。 我们在开始介绍之前先来看几个问题: 1.我们日常的办公系统是不是有多个? 2.每个系统之间是不是都有独立的账号密码? 3.密码多了...
如何连接ldap active directory服务并从中获取数据
04-12 790
最近在公司写内设文档, 发现用户登录时, 需要连接访问active directory服务并获取里面存储的用户数据, 进行域控处理。我, 刚出来, 看着其实挺懵的, 便马上上网查资料了。 总体来说, ldap是一种数据存储的东西, 一种树状结构的目录, 能提高检索...
Node-RED中实现Active Directory集成的全新节点
通过使用这个库,node-red-contrib-activedirectory 能够执行身份验证(auth)和授权(authZ)相关的LDAP查询。 安装和入门指南如下: 1. 安装 Node-RED:首先需要确保 Node.js 已经安装在系统中。然后通过命令行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值