Question Comment puis-je comprendre ma chaîne de connexion LDAP?


Nous sommes sur un réseau d'entreprise qui exécute Active Directory et nous aimerions tester certains éléments LDAP (fournisseur d'appartenance à Active Directory, en fait) et jusqu'à présent, aucun d'entre nous ne peut déterminer quelle est notre chaîne de connexion LDAP. Est-ce que quelqu'un sait comment on peut s'y prendre pour le trouver? La seule chose que nous savons, c'est le domaine dans lequel nous sommes.


99
2018-04-08 13:43


origine




Réponses:


Le fournisseur d'appartenance ASP.NET Active Directory établit une liaison authentifiée à Active Directory à l'aide d'un nom d'utilisateur, d'un mot de passe et d'une "chaîne de connexion" spécifiés. La chaîne de connexion est composée du nom du serveur LDAP et du chemin qualifié complet de l'objet conteneur dans lequel se trouve l'utilisateur spécifié.

La chaîne de connexion commence par l'URI LDAP://.

Pour le nom du serveur, vous pouvez utiliser le nom d'un contrôleur de domaine de ce domaine, par exemple "dc1.corp.domain.com". Ça nous donne LDAP://dc1.corp.domain.com/ jusqu'ici.

Le bit suivant est le chemin d'accès complet de l'objet conteneur dans lequel se trouve l'utilisateur de liaison. Supposons que vous utilisez le compte "Administrateur" et que le nom de votre domaine est "corp.domain.com". Le compte "Administrateur" se trouve dans un conteneur nommé "Utilisateurs" situé un niveau sous la racine du domaine. Ainsi, le nom distinctif complet du conteneur "Utilisateurs" serait: CN=Users,DC=corp,DC=domain,DC=com. Si l'utilisateur avec lequel vous vous associez se trouve dans une unité d'organisation, au lieu d'un conteneur, le chemin d'accès inclurait "OU = ou-name".

Donc, en utilisant un compte dans une unité d'organisation nommée Service Accounts c'est une sous-unité d'organisation d'une unité d'organisation nommée Corp Objects c'est une sous-unité d'organisation d'un domaine nommé corp.domain.com aurait un chemin pleinement qualifié de OU=Service Accounts,OU=Corp Objects,DC=corp,DC=domain,DC=com.

Combiner les LDAP://dc1.corp.domain.com/ avec le chemin complet du conteneur où se trouve l’utilisateur de liaison (par exemple, LDAP://dc1.corp.domain.com/OU=Service Accounts,OU=Corp Objects,DC=corp,DC=domain,DC=com) et vous avez votre "chaîne de connexion".

(Vous pouvez utiliser le nom du domaine dans la chaîne de connexion, par opposition au nom d'un contrôleur de domaine. La différence est que le nom du domaine sera résolu en adresse IP de tout contrôleur de domaine dans le domaine. Cela peut être à la fois bon et mauvais. Vous ne comptez pas sur un seul contrôleur de domaine pour que le fournisseur d'appartenance fonctionne, mais le nom a tendance à disparaître, par exemple, en tant que contrôleur de domaine situé dans un emplacement distant avec une connectivité réseau inégal, alors vous pouvez avoir des problèmes d'adhésion. fournisseur de travail.)


93
2018-04-08 14:19



Avec SBS 2008 au moins, on dirait qu'ils ont commencé à se conformer au préfixe "OU" standard dans la chaîne des OU: CN = Votre nom, OU = Utilisateurs, DC = exemple, DC = local. Nous fonctionnons au niveau fonctionnel. 2003. - gravyface
Très bonne réponse. Puis-je fournir les informations de connexion du compte interrogateur au contrôleur de domaine étranger dans la chaîne de connexion? - Dan
Donc, vous voulez dire que la machine distante accédant à ActiveDirectory devrait être dans son propre domaine? Que se passe-t-il si ma machine locale n'est pas dans son domaine? Si ma machine est dans un groupe de travail, dois-je transmettre 2 informations d'identification pour authentifier un utilisateur? Je veux dire, un pour vous connecter à la machine Windows Server et l'autre consiste à valider le nom d'utilisateur et le mot de passe de l'utilisateur ActiveDirectory. Ai-je raison? - Dinesh Kumar P
@DineshKumarP: J'ai un peu de mal à vous analyser. Le fournisseur d'appartenance utilise une information d'identification valide dans Active Directory (AD) pour se lier à l'annuaire. L'ordinateur qui exécute le fournisseur d'appartenance n'a pas besoin d'être membre d'un domaine AD mais vous devez le configurer avec un identifiant valide de l'AD pour qu'il puisse fonctionner. - Evan Anderson
@ArthurRonald - Les utilisateurs non privilégiés peuvent se connecter et interroger Active Directory, par défaut. En fait, il vaut probablement mieux utiliser des utilisateurs non privilégiés. Active Directory possède un modèle de liste de contrôle d'accès assez riche et vous pouvez contrôler l'accès aux objets et aux attributs de manière très granulaire. Vous devez vous connecter avec un compte disposant de suffisamment de privilèges pour pouvoir vous fournir ce dont vous avez besoin, mais rien de plus. - Evan Anderson


Type dsquery /? dans une invite de commande.

Par exemple: dsquery user -name Ja* obtient les chaînes de connexion pour tous les utilisateurs dont le nom commence par Ja *.


22
2018-04-08 14:26



J'aime cette approche, elle donne l'ordre correct des unités d'organisation et autres. Pour bien comprendre, utilisez LDAP: //dc1.corp.domain.com/ et le résultat de la commande & combinez-les afin de former facilement une chaîne ldap. - RandomUs1r
De quels outils avez-vous besoin pour installer cette commande? - Pred
Pred, voir ceci réponse. - Stas Bushuev


Je viens d'utiliser cet outil de Softerra (un excellent navigateur LDAP gratuit) pour obtenir le nom d'utilisateur de l'utilisateur actuellement connecté: http://www.ldapbrowser.com/download.htm


16
2018-04-08 17:36



Étape 1: à l'étape "Informations d'identification", sélectionnez "Utilisateur actuellement connecté (ActiveDirectory uniquement)". Étape 2: Une fois la connexion créée, dans ses propriétés, accédez à l'onglet "Entrée" et copiez l'URL. Étape 3: Utilisez cette URL avec le nom distinctif trouvé avec la solution ErJab. - Nicolas Raoul


J'ai toujours eu du mal à trouver le bon moyen de taper l'UO. La commande dsquery ou domainroot vous donnera une liste des noms corrects de toutes les unités d'organisation de votre domaine. Je ne sais pas si cela aidera une grande organisation.


6
2018-06-03 08:07





  1. Installez les outils d’administration du serveur distant: http://www.microsoft.com/en-us/download/details.aspx?id=7887

  2. Ouvrez une invite de commande et entrez> dsquery server

Pour plus d'informations, s'il vous plaît vérifier ce post (bas de la post): http://www.schiffhauer.com/mvc-5-and-active-directory-authentication/


4
2018-02-20 02:50





Si vous ouvrez ADSIedit, il devrait vous montrer le chemin lorsque vous choisissez de vous connecter à ...

enter image description here


3
2018-04-15 20:59





La syntaxe complète est à http://www.faqs.org/rfcs/rfc2255.html


2
2017-07-27 09:56





J'ai trouvé le moyen le plus simple:

Vous pouvez également trouver de

Serveur Active Directory -> Choisissez l'unité d'organisation -> Droite   Cliquez sur -> Propriétés -> AttributeEditor -> DistinguishedName

Je les ai de Microsoft Windows Server 2012 R2


1