Pertanyaan Bagaimana saya bisa mengetahui string koneksi LDAP saya?


Kami berada di jaringan perusahaan yang menjalankan direktori aktif dan kami ingin menguji beberapa hal LDAP (penyedia keanggotaan direktori aktif, sebenarnya) dan sejauh ini, tidak satupun dari kami dapat mengetahui apa string koneksi LDAP kami. Adakah yang tahu bagaimana kita bisa menemukannya? Satu-satunya hal yang kami ketahui adalah domain yang kami gunakan.


99
2018-04-08 13:43






Jawaban:


Penyedia Keanggotaan Direktori Aktif ASP.NET melakukan pengesahan yang diotentikasi ke Active Directory menggunakan nama pengguna, kata sandi, dan "string koneksi" yang ditentukan. String koneksi terdiri dari nama server LDAP, dan lintasan yang memenuhi syarat penuh dari objek kontainer tempat pengguna yang ditentukan berada.

String koneksi dimulai dengan URI LDAP://.

Untuk nama server, Anda dapat menggunakan nama pengontrol domain di domain itu - katakanlah "dc1.corp.domain.com". Itu memberi kita LDAP://dc1.corp.domain.com/ sejauh ini.

Bit berikutnya adalah lintasan yang memenuhi syarat penuh dari objek kontainer tempat pengguna pengikat berada. Katakanlah Anda menggunakan akun "Administrator" dan nama domain Anda adalah "corp.domain.com". Akun "Administrator" berada dalam penampung bernama "Pengguna" yang terletak satu tingkat di bawah akar domain. Dengan demikian, DN yang memenuhi syarat dari wadah "Pengguna" adalah: CN=Users,DC=corp,DC=domain,DC=com. Jika pengguna yang Anda tautkan berada dalam OU, bukan sebuah penampung, jalur akan menyertakan "OU = ou-name".

Jadi, menggunakan akun dalam nama OU Service Accounts itu adalah sub-OU dari nama OU Corp Objects itu adalah sub-OU dari sebuah domain bernama corp.domain.com akan memiliki jalur yang sepenuhnya berkualitas OU=Service Accounts,OU=Corp Objects,DC=corp,DC=domain,DC=com.

Gabungkan LDAP://dc1.corp.domain.com/ dengan jalur yang sepenuhnya memenuhi syarat ke wadah tempat pengguna pengikat berada (seperti, katakanlah, LDAP://dc1.corp.domain.com/OU=Service Accounts,OU=Corp Objects,DC=corp,DC=domain,DC=com) dan Anda mendapat "koneksi string" Anda.

(Anda dapat menggunakan nama domain dalam string koneksi sebagai lawan dari nama kontroler domain. Perbedaannya adalah bahwa nama domain akan menyelesaikan ke alamat IP dari apa saja pengontrol domain di domain. Itu bisa menjadi baik dan buruk. Anda tidak bergantung pada kontroler domain tunggal untuk dapat berjalan dan bekerja untuk penyedia keanggotaan untuk bekerja, tetapi nama terjadi untuk menyelesaikan ke, katakanlah, DC di lokasi terpencil dengan konektivitas jaringan jerawatan maka Anda mungkin memiliki masalah dengan keanggotaan penyedia bekerja.)


93
2018-04-08 14:19



Setidaknya dengan SBS 2008, sepertinya mereka sudah mulai menyesuaikan dengan awalan "OU" standar dalam string untuk OU: CN = Nama Anda, OU = Pengguna, DC = contoh, DC = lokal Kami sedang menjalankan level fungsional 2003. - gravyface
Jawaban yang bagus. Dapatkah saya memberikan detail login dari akun kueri ke kontroler domain asing dalam string koneksi? - Dan
Jadi maksud Anda, mesin remote yang mengakses ActiveDirectory harus berada di domainnya sendiri? Bagaimana jika mesin lokal saya tidak ada dalam domainnya? Jika mesin saya dalam kelompok kerja, apakah saya harus memberikan 2 kredensial untuk mengotentikasi pengguna? Maksud saya, Satu untuk masuk ke mesin WindowsServer dan yang lainnya adalah memvalidasi nama pengguna dan kata sandi pengguna ActiveDirectory. Apakah saya benar? - Dinesh Kumar P
@DineshKumarP: Saya mengalami sedikit kesulitan menguraikan Anda. Penyedia Keanggotaan menggunakan kredensial yang valid di Active Directory (AD) untuk mengikat ke Direktori. Komputer yang menjalankan Penyedia Keanggotaan tidak perlu menjadi anggota domain AD apa pun, tetapi Anda harus mengonfigurasinya dengan kredensial yang valid dari AD agar dapat berfungsi. - Evan Anderson
@ArthurRonald - Pengguna yang tidak berhak dapat mengikat dan menanyakan Active Directory, secara default. Bahkan, mungkin lebih baik jika Anda menggunakan pengguna yang tidak berhak. Active Directory memiliki model ACL yang cukup kaya, dan Anda dapat mengontrol akses ke objek dan atribut dengan cara yang sangat terperinci. Anda harus mengikat dengan akun yang memiliki hak istimewa yang cukup untuk melakukan apa yang Anda butuhkan tetapi tidak lebih. - Evan Anderson


Mengetik dsquery /? dalam prompt perintah.

Misalnya: dsquery user -name Ja* mendapatkan string koneksi untuk semua pengguna dengan nama dimulai di Ja *.


22
2018-04-08 14:26



Saya suka pendekatan ini, ia memberikan urutan OU yang benar dan semacamnya. Untuk membuatnya jelas, untuk menggunakan ini ambil LDAP: //dc1.corp.domain.com/ dan output dari perintah & gabungkan mereka untuk membentuk string ldap yang tenang dengan mudah. - RandomUs1r
Alat apa yang perlu Anda instal untuk menggunakan perintah ini? - Pred
Pred, lihat ini menjawab. - Stas Bushuev


Saya hanya menggunakan alat ini dari Softerra (mereka membuat Browser LDAP freeware yang sangat bagus) untuk mendapatkan DN Pengguna dari pengguna yang saat ini login: http://www.ldapbrowser.com/download.htm


16
2018-04-08 17:36



Langkah 1: Pada langkah "Kredensial", pilih "Saat ini pengguna yang masuk (hanya ActiveDirectory)". Langkah 2: Ketika koneksi dibuat, di Properties nya pergi ke tab "Masuk" dan salin URL. Langkah 3: Gunakan URL itu bersama dengan DN yang ditemukan dengan solusi ErJab. - Nicolas Raoul


Saya selalu kesulitan menemukan cara yang tepat untuk mengetikkan OU. Perintah dsquery ou domainroot akan memberi Anda daftar nama yang benar dari semua OU di domain Anda. Tidak yakin apakah ini akan membantu untuk organisasi yang lebih besar.


6
2018-06-03 08:07





  1. Instal Alat Administrasi Server Jarak Jauh: http://www.microsoft.com/en-us/download/details.aspx?id=7887

  2. Buka prompt perintah dan masukkan> server dsquery

Untuk informasi lebih lanjut, silakan periksa posting ini (bawah posting): http://www.schiffhauer.com/mvc-5-and-active-directory-authentication/


4
2018-02-20 02:50





Jika Anda membuka ADSIedit, itu akan menunjukkan kepada Anda jalan ketika Anda memilih untuk Menghubungkan Ke ...

enter image description here


3
2018-04-15 20:59





Sintaks lengkapnya ada di http://www.faqs.org/rfcs/rfc2255.html


2
2017-07-27 09:56





Saya menemukan cara termudah:

Anda juga dapat menemukannya

Server direktori aktif -> Pilih Unit Organisasi OU -> Kanan   Klik -> Properties -> AttributeEditor -> DistinguishedName

Saya mendapatkan ini dari Microsoft windows server 2012 R2


1