Ми перебуваємо в корпоративній мережі, що працює з активною каталогом, і ми хотіли б перевірити деякі речі LDAP (фактично постачальника активного членства в каталозі), і поки що ніхто з нас не може зрозуміти, що таке наша лінія зв'язку LDAP. Хтось знає, як ми можемо піти на пошук? Єдине, що ми знаємо - це домен, на якому ми працюємо.
Як я можу з’ясувати мою рядок з'єднання LDAP?
Відповіді:
Постачальник членства в ASP.NET Active Directory здійснює автентифіковану прив'язку до Active Directory, використовуючи вказане ім'я користувача, пароль та "рядок з'єднання". Рядок з'єднання складається з імені сервера LDAP та повністю кваліфікованого шляху об'єкта контейнера, де знаходиться вказаний користувачем.
Рядок з'єднання починається з URI LDAP://.
Для імені сервера ви можете використовувати ім'я контролера домену в цьому домені. Скажімо, "dc1.corp.domain.com". Це дає нам таким LDAP://dc1.corp.domain.com/чиномдалі.
Наступний біт - це повністю кваліфікований шлях об'єкта контейнера, де знаходиться прив'язуючий користувач. Скажімо, ви використовуєте обліковий запис "Адміністратор", а ім'я вашого домену - "corp.domain.com". Обліковий запис "Адміністратор" знаходиться в контейнері під назвою "Користувачі", розташованому на один рівень нижче кореня домену. Таким чином, повне DN контейнера «Users» буде: CN=Users,DC=corp,DC=domain,DC=com. Якщо користувач, з яким ви зв’язуєтесь, знаходиться в OU, а не контейнер, шлях буде містити "OU = ou-name".
Таким чином, використання облікового запису в ОУ, який називається, Service Accountsщо є суб-OU OU з ім'ям, Corp Objectsщо суб-OU домену з іменем corp.domain.comматиме повністю кваліфікований шлях OU=Service Accounts,OU=Corp Objects,DC=corp,DC=domain,DC=com.
Поєднайте LDAP://dc1.corp.domain.com/повний шлях до контейнера, де знаходиться прив'язуючий користувач (наприклад, LDAP://dc1.corp.domain.com/OU=Service Accounts,OU=Corp Objects,DC=corp,DC=domain,DC=com), і ви отримаєте "рядок з'єднання".
(Ви можете використовувати ім'я домену в рядку підключення на відміну від імені контролера домену. Різниця полягає в тому, що ім'я домену буде відповідати IP-адресі будь-якого контролера домену в домені. Це може бути як хорошим, так і поганим. Ви не покладаєтесь ні на один контролер домену, щоб він працював і працював, щоб постачальник членства працював, але це ім'я може вирішитись, скажімо, постійним струмом у віддаленому місці з плямистим мережевим підключенням, тоді у вас можуть виникнути проблеми з членством постачальник працює.)
Щонайменше із SBS 2008, схоже, вони почали відповідати стандартному префіксу "OU" у рядку для OU: CN = Ваше ім'я, OU = користувачі, DC = приклад, DC = локальний. Ми працюємо на функціональному рівні 2003.
—
gravyface
Чудова відповідь. Чи можу я надати реквізити для входу в обліковий запис запиту контролеру іноземного домену в рядку з'єднання?
—
День
Отже, ви маєте на увазі, що віддалений апарат, що отримує доступ до ActiveDirectory, повинен бути у власному домені? Що робити, якщо моя локальна машина не входить у свою область? Якщо моя машина знаходиться в робочій групі, чи потрібно мені пройти 2 облікові дані для автентифікації користувача? Я маю на увазі: Один для входу на машину WindowsServer, а інший - перевірка імені користувача та пароля ActiveDirectory. Маю рацію?
—
Дінеш Кумар P
@DineshKumarP: У мене виникають невеликі проблеми з вашим розбором. Постачальник членства використовує дійсний обліковий запис в Active Directory (AD) для прив’язки до Каталогу. Комп'ютер, на якому працює постачальник членства, не повинен бути членом будь-якого домену AD, однак для його функціонування потрібно налаштувати його з дійсним обліковим записом AD.
—
Еван Андерсон
@ArthurRonald - Непривілейовані користувачі за замовчуванням можуть прив’язуватися до запиту Active Directory. Насправді, мабуть, найкраще, якщо ви використовуєте непривілейованих користувачів. Active Directory має досить багату модель ACL, і ви можете контролювати доступ до об'єктів і атрибутів дуже детально. Вам слід зв’язатись із обліковим записом, який має достатньо привілеїв, щоб робити вам те, що вам потрібно, але не більше.
—
Еван Андерсон
Введіть dsquery /?командний рядок.
Напр .: dsquery user -name Ja*отримує рядки з'єднання для всіх користувачів, імена яких починаються з Ja *.
Мені подобається такий підхід, він дає правильне впорядкування НУ і подібне. Щоб зробити це очевидним, скористайтеся цим LDAP: //dc1.corp.domain.com/ та висновком із команди & об'єднайте їх, щоб легко сформувати рядок ldap.
—
RandomUs1r
Які інструменти вам потрібні для встановлення цієї команди?
—
Pred
Пред, дивись цю відповідь .
—
Стас Бушуєв
Я просто використовую цей інструмент від Softerra (вони роблять прекрасним безкоштовним браузером LDAP), щоб отримати DN користувача від користувача, який зараз увійшов: http://www.ldapbrowser.com/download.htm
Крок 1: На кроці "Повноважні дані" виберіть "Поточний користувач, який увійшов (лише ActiveDirectory)". Крок 2: Коли з'єднання створено, у його Властивості перейдіть на вкладку "Введення" та скопіюйте URL-адресу. Крок 3: Використовуйте цю URL-адресу разом з DN, знайденим в рішенні ErJab.
—
Nicolas Raoul
Встановлення інструментів віддаленого адміністрування сервера: http://www.microsoft.com/en-us/download/details.aspx?id=7887
Відкрийте командний рядок та введіть> сервер dsquery
Для отримання додаткової інформації перегляньте це повідомлення (внизу публікації): http://www.schiffhauer.com/mvc-5-and-active-directory-authentication/
Повний синтаксис розміщено на веб- сайті http://www.faqs.org/rfcs/rfc2255.html