Frage Wie kann ich meine LDAP-Verbindungszeichenfolge herausfinden?


Wir befinden uns in einem Unternehmensnetzwerk, in dem Active Directory ausgeführt wird, und wir möchten einige LDAP-Komponenten testen (eigentlich Active Directory-Mitgliedschaftsanbieter), und bis jetzt kann keiner von uns herausfinden, was unsere LDAP-Verbindungszeichenfolge ist. Weiß jemand, wie wir es finden können? Das einzige, was wir wissen, ist die Domäne, in der wir uns befinden.


99
2018-04-08 13:43


Ursprung




Antworten:


Der ASP.NET Active Directory-Mitgliedschaftsanbieter führt eine authentifizierte Bindung an Active Directory unter Verwendung eines angegebenen Benutzernamens, Kennworts und einer "Verbindungszeichenfolge" aus. Die Verbindungszeichenfolge besteht aus dem Namen des LDAP-Servers und dem vollständig qualifizierten Pfad des Containerobjekts, auf dem sich der Benutzer befindet.

Die Verbindungszeichenfolge beginnt mit dem URI LDAP://.

Für den Servernamen können Sie den Namen eines Domänencontrollers in dieser Domäne verwenden, sagen wir "dc1.corp.domain.com". Das gibt uns LDAP://dc1.corp.domain.com/ so weit.

Das nächste Bit ist der vollständig qualifizierte Pfad des Containerobjekts, in dem sich der bindende Benutzer befindet. Angenommen, Sie verwenden das Konto "Administrator" und der Name Ihrer Domain lautet "corp.domain.com". Das Konto "Administrator" befindet sich in einem Container mit dem Namen "Benutzer", der eine Ebene unter dem Stamm der Domäne liegt. Daher wäre der vollständig qualifizierte DN des Containers "Benutzer": CN=Users,DC=corp,DC=domain,DC=com. Wenn sich der Benutzer, mit dem Sie eine Bindung herstellen, in einer Organisationseinheit befindet, würde der Pfad anstelle eines Containers "OU = ou-name" enthalten.

So verwenden Sie ein Konto in einer OU mit dem Namen Service Accounts Das ist eine Unter-OU einer OU mit dem Namen Corp Objects das ist eine Unter-OU einer Domain namens corp.domain.com hätte einen vollständig qualifizierten Pfad von OU=Service Accounts,OU=Corp Objects,DC=corp,DC=domain,DC=com.

Kombinieren Sie die LDAP://dc1.corp.domain.com/ mit dem vollständig qualifizierten Pfad zu dem Container, in dem sich der bindende Benutzer befindet (z. B. LDAP://dc1.corp.domain.com/OU=Service Accounts,OU=Corp Objects,DC=corp,DC=domain,DC=com) und du hast deine "Verbindungszeichenfolge".

(Sie können den Namen der Domäne in der Verbindungszeichenfolge anstelle des Namens eines Domänencontrollers verwenden. Der Unterschied besteht darin, dass der Name der Domäne in die IP-Adresse von aufgelöst wird irgendein Domänencontroller in der Domäne. Das kann gut und schlecht sein. Sie sind nicht darauf angewiesen, dass ein einzelner Domänencontroller ausgeführt wird, damit der Mitgliedschaftsprovider funktioniert. Der Name wird jedoch z. B. in einem Domänencontroller an einem Remotestandort mit fehlerhafter Netzwerkverbindung aufgelöst. Möglicherweise haben Sie dann Probleme mit der Mitgliedschaft Anbieter arbeitet.)


93
2018-04-08 14:19



Mit SBS 2008 scheint es zumindest so zu sein, dass sie mit dem Standard-Präfix "OU" in der Zeichenfolge für die OUs konform sind: CN = Ihr Name, OU = Benutzer, DC = Beispiel, DC = lokal Wir führen Funktionsebene aus 2003. - gravyface
Gute Antwort. Kann ich dem fremden Domänencontroller in der Verbindungszeichenfolge die Anmeldedaten des abfragenden Kontos bereitstellen? - Dan
Sie meinen also, dass der Remote-Computer, der auf ActiveDirectory zugreift, in seiner eigenen Domäne sein sollte? Was passiert, wenn mein lokaler Computer nicht in seiner Domäne ist? Wenn sich mein Computer in einer Arbeitsgruppe befindet, muss ich zwei Anmeldeinformationen übergeben, um einen Benutzer zu authentifizieren? Ich meine, One, um sich auf dem WindowsServer-Rechner anzumelden, und der andere, um den Benutzernamen und das Passwort des ActiveDirectory-Benutzers zu überprüfen. Habe ich recht? - Dinesh Kumar P
@DineshKumarP: Ich habe ein wenig Mühe, Sie zu analysieren. Der Mitgliedschaftsanbieter verwendet einen gültigen Berechtigungsnachweis im Active Directory (AD) zum Binden an das Verzeichnis. Der Computer, auf dem der Mitgliedschaftsanbieter ausgeführt wird, muss kein Mitglied einer AD-Domäne sein, Sie müssen ihn jedoch mit einem gültigen Berechtigungsnachweis aus dem AD konfigurieren, damit er funktioniert. - Evan Anderson
@ArthurRonald - Unprivilegierte Benutzer können standardmäßig Active Directory binden und abfragen. In der Tat ist es wahrscheinlich am besten, wenn Sie einen unprivilegierten Benutzer verwenden. Active Directory verfügt über ein recht reichhaltiges ACL-Modell und Sie können den Zugriff auf Objekte und Attribute sehr detailliert steuern. Du solltest dich mit einem Account verbinden, der genug Privilegien hat, um dir zu tun, was du brauchst, aber nicht mehr. - Evan Anderson


Art dsquery /? in einer Eingabeaufforderung.

Z.B: dsquery user -name Ja* Ruft die Verbindungszeichenfolgen für alle Benutzer mit Namen ab, die mit Ja * beginnen.


22
2018-04-08 14:26



Ich mag diesen Ansatz, es gibt die richtige Reihenfolge der OUs und so. Um es offensichtlich zu machen, nehmen Sie LDAP: //dc1.corp.domain.com/ und die Ausgabe des Befehls und kombinieren Sie sie, um einen ldap-String ruhig zu bilden. - RandomUs1r
Welche Tools müssen installiert sein, um diesen Befehl verwenden zu können? - Pred
Pred, sieh das hier Antworten. - Stas Bushuev


Ich benutze nur dieses Tool von Softerra (sie machen einen ausgezeichneten Freeware-LDAP-Browser), um den Benutzer-DN vom aktuell angemeldeten Benutzer zu erhalten: http://www.ldapbrowser.com/download.htm


16
2018-04-08 17:36



Schritt 1: Wählen Sie im Schritt "Anmeldeinformationen" die Option "Momentan angemeldeter Benutzer (nur ActiveDirectory)" aus. Schritt 2: Wenn die Verbindung erstellt wird, gehen Sie in den Eigenschaften auf die Registerkarte "Eintrag" und kopieren Sie die URL. Schritt 3: Verwenden Sie diese URL zusammen mit dem mit der ErJab-Lösung gefundenen DN. - Nicolas Raoul


Ich hatte immer Probleme, den richtigen Weg zur Eingabe der Organisationseinheit zu finden. Der Befehl dsquery ou domainroot gibt Ihnen eine Liste der korrekten Namen aller Organisationseinheiten in Ihrer Domäne. Nicht sicher, ob dies für eine größere Organisation hilft.


6
2018-06-03 08:07





  1. Installieren Sie die Remoteserver-Verwaltungsprogramme: http://www.microsoft.com/en-us/download/details.aspx?id=7887

  2. Öffnen Sie eine Eingabeaufforderung und geben Sie> dsquery server ein

Weitere Informationen finden Sie in diesem Post (unten im Beitrag): http://www.schiffhauer.com/mvc-5-and-active-directory-authentication/


4
2018-02-20 02:50





Wenn Sie ADSIedit öffnen, sollte der Pfad angezeigt werden, wenn Sie sich für die Verbindung mit ... entscheiden.

enter image description here


3
2018-04-15 20:59





Die vollständige Syntax ist bei http://www.faqs.org/rfcs/rfc2255.html


2
2017-07-27 09:56