Soru LDAP bağlantı dizgemi nasıl çözebilirim?


Aktif dizini çalıştıran bir şirket ağındayız ve bazı LDAP öğelerini (aslında etkin dizin üyelik sağlayıcısı) test etmek istiyoruz ve şu ana kadar hiçbirimiz LDAP bağlantı dizimizin ne olduğunu anlayamıyoruz. Onu bulmak için nasıl gidebileceğimizi bilen var mı? Bildiğimiz tek şey, üzerinde olduğumuz alan.


99
2018-04-08 13:43


Menşei




Cevaplar:


ASP.NET Active Directory Üyelik Sağlayıcısı, belirtilen bir kullanıcı adı, parola ve "bağlantı dizesi" kullanarak Active Directory'ye doğrulanmış bir bağlama yapar. Bağlantı dizesi, LDAP sunucusunun adından ve belirtilen kullanıcının bulunduğu kapsayıcı nesnesinin tam nitelikli yolundan oluşur.

Bağlantı dizesi URI ile başlar LDAP://.

Sunucu adı için, o etki alanındaki bir etki alanı denetleyicisinin adını kullanabilirsiniz. "Dc1.corp.domain.com" diyelim. Bu bize verir LDAP://dc1.corp.domain.com/ şimdiye kadar.

Bir sonraki bit, bağlayıcı kullanıcının bulunduğu konteyner nesnesinin tam yoludur. "Yönetici" hesabını kullandığınızı ve alan adınızın "corp.domain.com" olduğunu varsayalım. "Yönetici" hesabı, alanın kökünün altında bir seviye bulunan "Kullanıcılar" adlı bir kapsayıcıda bulunur. Böylece, "Kullanıcılar" kabının tam yetkili DN'si: CN=Users,DC=corp,DC=domain,DC=com. Bağlama yaptığınız kullanıcı bir konteyner yerine bir OU'da ise, yol "OU = ou-name" ifadesini içerir.

Yani, bir OU adlı bir hesap kullanarak Service Accounts Bu bir OU adlı bir OU alt OU'su Corp Objects bu, adlı bir alanın alt OU'su corp.domain.com tam nitelikli bir yolu olurdu OU=Service Accounts,OU=Corp Objects,DC=corp,DC=domain,DC=com.

Birleştirmek LDAP://dc1.corp.domain.com/ bağlayıcı kullanıcının bulunduğu konteynere tam olarak uygun yolla (örneğin, LDAP://dc1.corp.domain.com/OU=Service Accounts,OU=Corp Objects,DC=corp,DC=domain,DC=com) ve "bağlantı dizeniz" var.

(Etki alanı denetleyicisinin adı yerine, bağlantı dizesindeki alan adını kullanabilirsiniz. Fark, etki alanının adının IP adresine çözülmesidir. herhangi etki alanındaki etki alanı denetleyicisi. Bu hem iyi hem de kötü olabilir. Üyelik sağlayıcının çalışabilmesi için tek bir etki alanı denetleyicisine güvenmemeniz gerekir, ancak ad, sivil bir ağ bağlantısına sahip uzak bir yerde bir DC'nin çözüleceğini söyler. Bu durumda üyelikle ilgili sorunlarınız olabilir. sağlayıcı çalışıyor.)


93
2018-04-08 14:19



En azından SBS 2008 ile, OU'ların dizesindeki standart "OU" önekine uymaya başlamış gibi görünüyorlar: CN = Adınız, OU = Kullanıcılar, DC = örnek, DC = yerel İşlevsel düzeyde çalışıyoruz 2003. - gravyface
Mükemmel cevap. Sorgulama hesabının giriş bilgilerini bağlantı dizesindeki yabancı etki alanı denetleyicisine sağlayabilir miyim? - Dan
Yani, ActiveDirectory'a erişen uzak makinenin kendi alanında olması gerektiği anlamına mı geliyor? Yerel makinem kendi alanında değilse ne olur? Makinem bir çalışma grubundaysa, bir kullanıcının kimliğini doğrulamak için 2 kimlik bilgisini geçmem gerekir mi? Yani, bir WindowsServer makineye giriş yapmak için diğeri ActiveDirectory kullanıcının kullanıcı adı ve şifresini doğrulamaktır. Ben haklı mıyım - Dinesh Kumar P
@DineshKumarP: Seni ayrıştırma konusunda biraz sorun yaşıyorum. Üyelik Sağlayıcısı, Directory'ye bağlanmak için Active Directory'de (AD) geçerli bir kimlik kullanır. Üyelik Sağlayıcısını çalıştıran bilgisayarın herhangi bir AD etki alanının üyesi olması gerekmez; ancak, bunun çalışması için AD'den geçerli bir kimlik bilgisiyle yapılandırmanız gerekir. - Evan Anderson
@ArthurRonald - Ayrıcalıklı olmayan kullanıcılar varsayılan olarak Active Directory'ye bağlanabilir ve sorgulayabilir. Aslında, imtiyazsız bir kullanıcı kullanıyorsanız muhtemelen en iyisidir. Active Directory oldukça zengin bir ACL modeline sahiptir ve nesnelere ve niteliklere erişimi çok ayrıntılı bir şekilde kontrol edebilirsiniz. İhtiyacınız olanı yapmak için yeterli ayrıcalığa sahip olan bir hesapla bağlantı kurmanız gerekir, ancak artık yok. - Evan Anderson


tip dsquery /? bir komut isteminde.

Örneğin: dsquery user -name Ja* Ja * 'den başlayan isimler ile tüm kullanıcılar için bağlantı dizeleri alır.


22
2018-04-08 14:26



Bu yaklaşımı seviyorum, OU'ların ve benzerlerinin doğru sıralamasını verir. Bunu açıkça göstermek için, bu LDAP: //dc1.corp.domain.com/ ve komuttan çıkışı kullanın ve kolayca bir ldap dizesi oluşturmak için bunları birleştirin. - RandomUs1r
Bu komutu kullanmak için hangi araçlara ihtiyacınız var? - Pred
Pred, bunu gör Cevap. - Stas Bushuev


Bu aracı, şu anda oturum açmış olan kullanıcıdan Kullanıcı DN'sini almak için Softerra'dan (mükemmel bir ücretsiz LDAP Tarayıcısı) kullanıyoruz: http://www.ldapbrowser.com/download.htm


16
2018-04-08 17:36



1. Adım: "Kimlik Bilgileri" adımında, "Şu anda oturum açmış kullanıcı (yalnızca ActiveDirectory)" seçeneğini seçin. 2. Adım: Bağlantı oluşturulduğunda, Özellikler bölümünde "Giriş" sekmesine gidin ve URL'yi kopyalayın. 3. Adım: Bu URL'yi ErJab'ın çözümüyle bulunan DN ile birlikte kullanın. - Nicolas Raoul


OU'yu yazmak için doğru yolu bulmada her zaman problemlerim vardı. Komuta dsquery ou domainroot size etki alanınızdaki tüm OU'ların doğru adlarının bir listesini verecektir. Bunun daha büyük bir organizasyon için faydalı olup olmayacağından emin değil.


6
2018-06-03 08:07





  1. Uzak Sunucu Yönetim Araçları'nı yükleyin: http://www.microsoft.com/en-us/download/details.aspx?id=7887

  2. Bir komut istemi açın ve> dsquery sunucusuna girin

Daha fazla bilgi için lütfen bu yazıyı kontrol edin (gönderinin alt kısmı): http://www.schiffhauer.com/mvc-5-and-active-directory-authentication/


4
2018-02-20 02:50





ADSIedit'i açarsanız, Bağlanmayı seçtiğinizde size yol göstermelidir ...

enter image description here


3
2018-04-15 20:59





Tam sözdizimi http://www.faqs.org/rfcs/rfc2255.html


2
2017-07-27 09:56





En kolay yolu buldum:

Ayrıca bulabilirsiniz

Aktif dizin sunucusu -> Kuruluş Birimini seçin OU -> Sağ   Tıklayın -> Özellikler -> ÖzellikEditör -> DistinguishedName

Bunları Microsoft Windows Server 2012 R2'den aldım.


1