LDAP


LDAP-Clientzugriffe


siehe auch: Winbind

ldapsearch

Installation

apt-get install ldap-utils

Benutzung

Zeige mir die unterstützten Authentifizierungsmechanismen an:

ldapsearch -h myLDAPsrv -x -s base -LLL supportedSASLMechanisms


Zeige mir die samaccountnamen der Benutzer an:

ldapsearch -LLL -H "ldap://ntdomctrl" -b "dc=my,dc=dom,dc=ain" -x -D "ntdomäne\ntusername" -w "Benutzerpasswort"  -E pr=1000/noprompt objectclass=person   samaccountname


Zeige mir meine GPG-Codes an. Benutzer muss auf client genauso heissen wie abgefragt.

ldapsearch  -H "ldap://mygpgsrv" -b "CN=GPGKeyserver,DC=myDC=dom,DC=ain"  -D "MYNTDOM\ntusername" -R "my.dom.ain" -w "geheim"


Zeige mir meinen Computer mit seinen Attributen an.

ldapsearch -H "ldap://ntdomctrl" -x -W -b "CN=Computers,dc=my,dc=dom,dc=ain" -D "NYNTDOM\ntusername" "(sAMAccountName=mycomputer$)"

Authentifizierung gegen Active-Directory-LDAP

OpenSUSE

Installation:

zypper in nss-pam-ldapd

SID der Domäne ermitteln, muss etwa wie unten angegeben sein(S-1-5-21-x-x-x);

whoami /user

steht als Attribut objectSid in jedem AD-Objekt
dann Datei /etc/nslcd.conf editieren:

uid nslcd
gid nslcd
uri ldap://mydc.my.dom.ain/
base ou=myUsers,dc=my,dc=dom,dc=ain
base group ou=myGroups,dc=my,dc=dom,dc=ain
ldap_version 3
binddn mysearchuser@my.dom.ain
bindpw hispassword
ssl start_tls
tls_reqcert never
tls_cacertfile /etc/ssl/certs/ca-certificates.crt
# The search scope.
scope sub
# for ActiveDirectory
# nss_nested_groups yes
pagesize 1000
referrals off
idle_timelimit 1000
filter passwd (&(objectClass=user)(objectClass=person)(!(objectClass=computer))(!(objectClass=group)))
map    passwd uid           sAMAccountName
map    passwd homeDirectory "/home/mydomain/$sAMAccountName"
map    passwd gecos         displayName
map    passwd loginShell    "/bin/bash"
map    passwd gidNumber     objectSid:S-1-5-21-0123456789-012345678-012345678
map    passwd uidNumber     objectSid:S-1-5-21-0123456789-012345678-012345678
filter group (&(objectClass=group)(!(objectClass=computer)))
map    group cn            sAMAccountName
map    group gidNumber     objectSid:S-1-5-21-0123456789-012345678-012345678
validnames /^[a-z0-9._@$()]([a-zäüö\!âé&É+\(\)\\\#_ 0-9._@$() \\~-]*[a-zäöü\!âé&É+\(\)\\\#_ 0-9._@$()~-])?$/i

dann Dienst neustarten:

systemctl restart nslcd

pam configurieren:

pam-config -a --ldap
Fehlersuche
systemctl stop nslcd
nslcd -d
# jetzt von einem zweiten Terminal aus anmelden

in der /etc/nsswitch.conf müssen in etwa diese Zeilen stehen:

passwd:   files ldap systemd
groups:   files ldap systemd