ldapsearch contra autenticação falha do Active Directory + pesquisa params errada

Navegue suas respostas
3

Estou usando ldapsearch das ferramentas do OpenLDAP para pesquisar em nosso Active Directory corporativo meu e-mail e número de telefone. Esta consulta é um teste para garantir que eu possa autenticar no domínio para que eu possa configurar um wiki linux com autenticação NTLM. Minha teoria é que, se eu puder consultar com êxito o AD para obter informações, então estou um passo mais perto de fazer com que meu wiki seja autenticado contra o AD (eu tenho instruções para configurar o moin wiki no ActiveDirectory .

O problema é que não consigo obter a consulta ldapsearch correta. Eu tenho visto muitos tutoriais na net que indicam que -D deve ser algo como -D "Americas\John_Marsharll" ; no entanto, continuo recebendo ldap_bind: Invalid credentials (49) mensagens de erro quando uso Americas\John_Marshall . A única vez que obtenho resultados sensuais é quando procuro com os parâmetros abaixo. No entanto, mesmo assim, não consigo descobrir como obter e-mail e número de telefone. 

[John_Marshall@WN7-BG3YSM1 ~]$ ldapsearch -x -h 10.1.1.1 \
 -b "cn=Users,dc=Americas" mail telephonenumber -D "cn=John_Marshall,dc=Americas"
# extended LDIF
#
# LDAPv3
# base <cn=Users,dc=Americas> with scope subtree
# filter: (objectclass=*)
# requesting: mail telephonenumber -D cn=John_Marshall,dc=Americas 
#

# search result
search: 2
result: 32 No such object

# numResponses: 1
[John_Marshall@WN7-BG3YSM1 ~]$

Alguém pode me dar indicações sobre o que estou fazendo de errado com a consulta ldapsearch acima? Nosso servidor AD ldap é 10.1.1.1 e o domínio do AD é "Americas".

Etapas para a solução final (a resposta real está na resposta de Wolfgang):

Usando as informações nos comentários e a resposta de Wolfgang, pude montar a solução juntos, mas não foi bonito chegar lá ...

ldp.exe não foi muito útil para mim; no entanto, comecei a farejar os servidores com os quais o Outlook se autenticou e substituí esse endereço IP em minhas consultas. De repente, eu estava obtendo autenticação correta e executei uma consulta usando ldapsearch -x -h <new_ip_addr> -D "Americas\John_Marshall" -W -b "dc=MyCompanyName,dc=com" . Os resultados dessa consulta (que era basicamente um despejo de dados brutos de grande parte do nosso diretório LDAP corporativo) permitiram refinar o parâmetro -b (base de pesquisa).

    
por Mike Pennington 24.06.2011 / 18:09

1 resposta

5

Bem, há algumas coisas que podem estar erradas com isso:

  1. Você está especificando uma autenticação simples, mas não está fornecendo uma senha e não está dizendo ao ldapsearch para coletar uma senha da linha de comando. O usuário John_Marshall não possui uma senha? Se ele tem um, tem que ser fornecido de alguma forma. Especifique -w <passsword> ou -W (para inserir uma senha em um prompt).

  2. Os usuários são realmente binddn cn=John_Marshall,dc=Americas ? Em nosso AD, apenas como exemplo, meu próprio binddn seria " dn: CN=Wolfgang Schulze-Zachau,CN=Users,DC=aminocom,DC=com ", ou seja, não há sublinhado entre o primeiro nome e o sobrenome

  3. Um binddn de " cn=John_Marshall,dc=Americas " é possível, mas parece um pouco curto para mim. Claro, tudo isso depende de como o seu AD está configurado. Você pode verificar se esse é realmente o DN desse usuário? Quando você olha para Usuários e Computadores do AD, qual é a lista completa de itens de árvore que leva a esse usuário?

  4. Se você não especificar um filtro, verá uma lista de todos os itens que estão na base de pesquisa. Essa pode ser uma lista muito longa.

OP Editar :

O encantamento correto que funcionou foi: 

[John_Marshall@WN7-BG3YSM1 ~]$ ldapsearch -x -h <new_ip_addr> \
-D "Americas\John_Marshall" -W \
-b "cn=John_Marshall,ou=users,ou=austin,dc=amer,dc=MyComanyName,dc=com" \
mail telephonenumber ""
    
por 24.06.2011 / 18:30

Tags

Compreendendo os aspectos negativos do balanceamento de carga de rede com dois computadores em comparação com o balanceamento de carga de três vias tradicional Como posso verificar se meu convidado do CentOS em um host VMWare ESX está usando o driver de rede de ferramentas vmware?