ldapsearch w Active Directory

Można lubieć AD, można go nie lubieć… Ale jak już się ma to warto czasem zintegrować go z tym… i tamtym… Od strony Linuksa najwygodniej można to osiągnąć przez LDAP. A żeby to dobrze zrobić trzeba najpierw przetestować czy aby wszystko działa jak byśmy sobie tego życzyli. I tutaj bardzo przydatne jest narzędzie ldapsearch.

Do odpytywania LDAP’a potrzebujemy jeden pakiecik, który zawiera kilka narzędzi do jego obsługi:

apt-get install ldap-utils

Teraz możemy próbować przeszukiwać katalog np. tak:

ldapsearch -L -x -b "DC=nazwadomeny,DC=local" -D "CN=jakies_konto_w_ad,OU=System Accounts,DC=nazwadomeny,DC=local" -h kontroler.nazwadomeny.local -p 389 -W

Polecenie to odpyta kontroler o adresie kontroler.nazwadomeny.local (oczywiście możemy użyć też adresu IP) o wszystkie elementy w domenie. Port 389 na kontrolerze domeny musi być otwarty na zaporze – można też wykorzystać 3268 (o ile jest otwarty).

Parametr -b określa początkową gałąź wyszukiwania – możemy tu dodać konkretne OU itd.. by zmniejszyć liczbę elementów.

-D to użytkownik na którego się logujemy by uzyskać dostęp do katalogu.

-W zapyta nas o hasło dla tego użytkownika.

Oczywiście możemy nie potrzebować wszystkich obiektów z katalogu a tylko np. loginy kont użytkowników (ale już nie kont maszyn) – do tego celu możemy użyć filtrów, np. tak:

ldapsearch -x -b "DC=nazwadomeny,DC=local" -D "CN=jakies_konto_w_ad,OU=System Accounts,DC=nazwadomeny,DC=local" -h kontroler.nazwadomeny.local -p 3268 -w 'haslo czystym tekstem' '(&(objectClass=person)(!(objectClass=computer)))' sAMAccountName

No i dostajemy listę loginów żywych użytkowników. Użycie opcji -w może wydawać się nieco kontrowersyjne ale z drugiej strony jest bardzo wygodne gdy chcemy dane wyjściowe wykorzystać w skrypcie. Przykładowo możemy wynik tego polecenie puścić przez awk by otrzymać same loginy i dodatkowo wszystkie małymi/dużymi literami:

poprzednie_polecenie | awk '/sAMAccountName/ {print tolower($2);}'

W podobny sposób możemy wyciągnąć wszystkie emaile osób z pewnej grupy itd, itp….

Tutaj można znaleźć podstawowe info o regułach tworzenia filtrów: http://www.ldapexplorer.com/en/manual/109010000-ldap-filter-syntax.htm

One thought on “ldapsearch w Active Directory”

Leave a Reply

Your email address will not be published. Required fields are marked *