Як я можу з’ясувати мою рядок з'єднання LDAP?


108

Ми перебуваємо в корпоративній мережі, що працює з активною каталогом, і ми хотіли б перевірити деякі речі LDAP (фактично постачальника активного членства в каталозі), і поки що ніхто з нас не може зрозуміти, що таке наша лінія зв'язку LDAP. Хтось знає, як ми можемо піти на пошук? Єдине, що ми знаємо - це домен, на якому ми працюємо.

Відповіді:


101

Постачальник членства в ASP.NET Active Directory здійснює автентифіковану прив'язку до Active Directory, використовуючи вказане ім'я користувача, пароль та "рядок з'єднання". Рядок з'єднання складається з імені сервера LDAP та повністю кваліфікованого шляху об'єкта контейнера, де знаходиться вказаний користувачем.

Рядок з'єднання починається з URI LDAP://.

Для імені сервера ви можете використовувати ім'я контролера домену в цьому домені. Скажімо, "dc1.corp.domain.com". Це дає нам таким LDAP://dc1.corp.domain.com/чиномдалі.

Наступний біт - це повністю кваліфікований шлях об'єкта контейнера, де знаходиться прив'язуючий користувач. Скажімо, ви використовуєте обліковий запис "Адміністратор", а ім'я вашого домену - "corp.domain.com". Обліковий запис "Адміністратор" знаходиться в контейнері під назвою "Користувачі", розташованому на один рівень нижче кореня домену. Таким чином, повне DN контейнера «Users» буде: CN=Users,DC=corp,DC=domain,DC=com. Якщо користувач, з яким ви зв’язуєтесь, знаходиться в OU, а не контейнер, шлях буде містити "OU = ou-name".

Таким чином, використання облікового запису в ОУ, який називається, Service Accountsщо є суб-OU OU з ім'ям, Corp Objectsщо суб-OU домену з іменем corp.domain.comматиме повністю кваліфікований шлях OU=Service Accounts,OU=Corp Objects,DC=corp,DC=domain,DC=com.

Поєднайте LDAP://dc1.corp.domain.com/повний шлях до контейнера, де знаходиться прив'язуючий користувач (наприклад, LDAP://dc1.corp.domain.com/OU=Service Accounts,OU=Corp Objects,DC=corp,DC=domain,DC=com), і ви отримаєте "рядок з'єднання".

(Ви можете використовувати ім'я домену в рядку підключення на відміну від імені контролера домену. Різниця полягає в тому, що ім'я домену буде відповідати IP-адресі будь-якого контролера домену в домені. Це може бути як хорошим, так і поганим. Ви не покладаєтесь ні на один контролер домену, щоб він працював і працював, щоб постачальник членства працював, але це ім'я може вирішитись, скажімо, постійним струмом у віддаленому місці з плямистим мережевим підключенням, тоді у вас можуть виникнути проблеми з членством постачальник працює.)


Щонайменше із SBS 2008, схоже, вони почали відповідати стандартному префіксу "OU" у рядку для OU: CN = Ваше ім'я, OU = користувачі, DC = приклад, DC = локальний. Ми працюємо на функціональному рівні 2003.
gravyface

Чудова відповідь. Чи можу я надати реквізити для входу в обліковий запис запиту контролеру іноземного домену в рядку з'єднання?
День

Отже, ви маєте на увазі, що віддалений апарат, що отримує доступ до ActiveDirectory, повинен бути у власному домені? Що робити, якщо моя локальна машина не входить у свою область? Якщо моя машина знаходиться в робочій групі, чи потрібно мені пройти 2 облікові дані для автентифікації користувача? Я маю на увазі: Один для входу на машину WindowsServer, а інший - перевірка імені користувача та пароля ActiveDirectory. Маю рацію?
Дінеш Кумар P

@DineshKumarP: У мене виникають невеликі проблеми з вашим розбором. Постачальник членства використовує дійсний обліковий запис в Active Directory (AD) для прив’язки до Каталогу. Комп'ютер, на якому працює постачальник членства, не повинен бути членом будь-якого домену AD, однак для його функціонування потрібно налаштувати його з дійсним обліковим записом AD.
Еван Андерсон

2
@ArthurRonald - Непривілейовані користувачі за замовчуванням можуть прив’язуватися до запиту Active Directory. Насправді, мабуть, найкраще, якщо ви використовуєте непривілейованих користувачів. Active Directory має досить багату модель ACL, і ви можете контролювати доступ до об'єктів і атрибутів дуже детально. Вам слід зв’язатись із обліковим записом, який має достатньо привілеїв, щоб робити вам те, що вам потрібно, але не більше.
Еван Андерсон

23

Введіть dsquery /?командний рядок.

Напр .: dsquery user -name Ja*отримує рядки з'єднання для всіх користувачів, імена яких починаються з Ja *.


Мені подобається такий підхід, він дає правильне впорядкування НУ і подібне. Щоб зробити це очевидним, скористайтеся цим LDAP: //dc1.corp.domain.com/ та висновком із команди & об'єднайте їх, щоб легко сформувати рядок ldap.
RandomUs1r

3
Які інструменти вам потрібні для встановлення цієї команди?
Pred

Пред, дивись цю відповідь .
Стас Бушуєв

18

Я просто використовую цей інструмент від Softerra (вони роблять прекрасним безкоштовним браузером LDAP), щоб отримати DN користувача від користувача, який зараз увійшов: http://www.ldapbrowser.com/download.htm


Крок 1: На кроці "Повноважні дані" виберіть "Поточний користувач, який увійшов (лише ActiveDirectory)". Крок 2: Коли з'єднання створено, у його Властивості перейдіть на вкладку "Введення" та скопіюйте URL-адресу. Крок 3: Використовуйте цю URL-адресу разом з DN, знайденим в рішенні ErJab.
Nicolas Raoul

7

У мене завжди були проблеми з пошуком правильного способу набору ОУ. Команда dsquery ou domainrootдасть вам список правильних імен усіх НУ у вашому домені. Не впевнений, чи допоможе це для більшої організації.


4
  1. Встановлення інструментів віддаленого адміністрування сервера: http://www.microsoft.com/en-us/download/details.aspx?id=7887

  2. Відкрийте командний рядок та введіть> сервер dsquery

Для отримання додаткової інформації перегляньте це повідомлення (внизу публікації): http://www.schiffhauer.com/mvc-5-and-active-directory-authentication/


4

Якщо ви відкриєте ADSIedit, він повинен показати вам шлях, коли ви вирішите підключитися до ...

введіть тут опис зображення



1

Я знайшов найпростіший спосіб :

Ви також можете знайти з

Сервер активного каталогу -> Виберіть OU OU -> Клацніть правою кнопкою миші -> Властивості -> AttributeEditor -> DistinguishedName

Я отримав це з сервера Microsoft Windows 2012 R2

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.