Borwinius Wissensdatenbank

Navigation

LDAP


LDAP-Clientzugriffe


siehe auch: Winbind

ldapsearch

Installation

apt-get install ldap-utils

Benutzung

Zeige mir die unterstützten Authentifizierungsmechanismen an: 

ldapsearch -H ldap://myLDAPsrv -x -s base -LLL supportedSASLMechanisms


Zeige mir die samaccountnamen der Benutzer an: 

ldapsearch -LLL -H "ldap://ntdomctrl" -b "dc=my,dc=dom,dc=ain" -x -D "ntdomäne\ntusername" -w "Benutzerpasswort"  -E pr=1000/noprompt objectclass=person   samaccountname


Zeige mir meine GPG-Codes an. Benutzer muss auf client genauso heissen wie abgefragt. 

ldapsearch  -H "ldap://mygpgsrv" -b "CN=GPGKeyserver,DC=myDC=dom,DC=ain"  -D "MYNTDOM\ntusername" -R "my.dom.ain" -w "geheim"


Zeige mir meinen Computer mit seinen Attributen an. 

ldapsearch -H "ldap://ntdomctrl" -x -W -b "CN=Computers,dc=my,dc=dom,dc=ain" -D "NYNTDOM\ntusername" "(sAMAccountName=mycomputer$)"

Authentifizierung gegen Active-Directory-LDAP

OpenSUSE

Installation: 

zypper in nss-pam-ldapd
Debian

Installation: 

apt install nslcd libpam-ldapd

SID der Domäne auf einem Windowsrechner ermitteln, muss etwa wie unten angegeben sein(S-1-5-21-x-x-x);

whoami /user

steht als Attribut objectSid in jedem AD-Objekt
dann Datei /etc/nslcd.conf editieren: 

uid nslcd
gid nslcd
uri ldap://mydc.my.dom.ain/
# oder verschlüsselt:
# uri ldaps://mydc.my.dom.ain:636/
base ou=myUsers,dc=my,dc=dom,dc=ain
base group ou=myGroups,dc=my,dc=dom,dc=ain
ldap_version 3
binddn mysearchuser@my.dom.ain
bindpw hispassword
ssl start_tls
# oder ssl on
tls_reqcert never
# in dieser Datei muss das Serverzertifikat mit drin sein
tls_cacertfile /etc/ssl/certs/ca-certificates.crt
# The search scope.
scope sub
# for ActiveDirectory
# nss_nested_groups yes
pagesize 1000
referrals off
idle_timelimit 1000
filter passwd (&(objectClass=user)(objectClass=person)(!(objectClass=computer))(!(objectClass=group)))
map    passwd uid           sAMAccountName
map    passwd homeDirectory "/home/mydomain/$sAMAccountName"
map    passwd gecos         displayName
map    passwd loginShell    "/bin/bash"
map    passwd gidNumber     objectSid:S-1-5-21-0123456789-012345678-012345678
map    passwd uidNumber     objectSid:S-1-5-21-0123456789-012345678-012345678
filter group (&(objectClass=group)(!(objectClass=computer)))
map    group cn            sAMAccountName
map    group gidNumber     objectSid:S-1-5-21-0123456789-012345678-012345678
validnames /^[a-z0-9._@$()]([a-zäüö\!âé&É+\(\)\\\#_ 0-9._@$() \\~-]*[a-zäöü\!âé&É+\(\)\\\#_ 0-9._@$()~-])?$/i

dann Dienst neustarten: 

systemctl restart nslcd

pam configurieren: 

pam-config -a --ldap
# debian:
pam-auth-update (dann darin mkhomedir und ldap auswählen)
Fehlersuche
systemctl stop nslcd
nslcd -d
# jetzt von einem zweiten Terminal aus anmelden

in der /etc/nsswitch.conf müssen in etwa diese Zeilen stehen: 

passwd:   files ldap systemd
groups:   files ldap systemd