Вопрос: Как я могу определить строку подключения LDAP?


Мы работаем в корпоративной сети, в которой работает активный каталог, и мы хотели бы протестировать некоторые файлы LDAP (активный поставщик членства в каталогах, на самом деле), и пока никто из нас не может понять, что такое наша строка подключения LDAP. Кто-нибудь знает, как мы можем найти его? Единственное, что мы знаем, это домен, в котором мы находимся.


98
2018-04-08 13:43


Источник




Ответы:


Поставщик членства в Active Directory ASP.NET выполняет аутентифицированное связывание с Active Directory с использованием указанного имени пользователя, пароля и «строки подключения». Строка подключения состоит из имени сервера LDAP, и полный путь к контейнеру, в котором указан указанный пользователь.

Строка подключения начинается с URI LDAP://,

Для имени сервера вы можете использовать имя контроллера домена в этом домене - скажем, «dc1.corp.domain.com». Это дает нам LDAP://dc1.corp.domain.com/ thusfar.

Следующий бит - это полный путь к объекту-контейнеру, в котором находится пользователь привязки. Предположим, вы используете учетную запись «Администратор», а имя вашего домена - «corp.domain.com». Учетная запись «Администратор» находится в контейнере с именем «Пользователи», расположенном на одном уровне ниже корня домена. Таким образом, полнофункциональным DN контейнера «Пользователи» будет: CN=Users,DC=corp,DC=domain,DC=com, Если пользователь, с которым вы связываетесь, находится в подразделении, а не в контейнере, путь будет включать «OU = ou-name».

Итак, используя учетную запись в OU с именем Service Accounts это суб-подразделение OU, названное Corp Objects это суб-OU домена с именем corp.domain.com будет иметь полностью квалифицированный OU=Service Accounts,OU=Corp Objects,DC=corp,DC=domain,DC=com,

Объедините LDAP://dc1.corp.domain.com/ с полным пути к контейнеру, где находится привязывающий пользователь (например, LDAP://dc1.corp.domain.com/OU=Service Accounts,OU=Corp Objects,DC=corp,DC=domain,DC=com), и у вас есть «строка подключения».

(Вы можете использовать имя домена в строке подключения в отличие от имени контроллера домена. Разница в том, что имя домена будет разрешено к IP-адресу Любые контроллер домена в домене. Это может быть и хорошим, и плохим. Вы не полагаетесь на какой-либо один контроллер домена, который должен работать и работать для поставщика членства, но имя, как правило, разрешается, например, DC в удаленном месте с пятнистым сетевым подключением, тогда у вас могут быть проблемы с членством поставщик работает.)


92
2018-04-08 14:19



По крайней мере, с SBS 2008, похоже, что они начали соответствовать стандартному префиксу «OU» в строке для подразделений: CN = Your Name, OU = Users, DC = example, DC = local Мы запускаем функциональный уровень 2003. - gravyface
Отличный ответ. Могу ли я предоставить данные для входа в учетную запись для запроса на внешний контроллер домена в строке подключения? - Dan
Итак, вы имеете в виду, что удаленный компьютер, обращающийся к ActiveDirectory, должен находиться в своем собственном домене? Что делать, если моя локальная машина не находится в ее домене? Если моя машина находится в рабочей группе, мне нужно передать 2 учетных данных для аутентификации пользователя? Я имею в виду: один для входа в систему WindowsServer, а другой - для проверки имени пользователя и пароля пользователя ActiveDirectory. Я прав? - Dinesh Kumar P
@DineshKumarP: У меня проблемы с разбором. Поставщик членства использует действительные учетные данные в Active Directory (AD) для привязки к каталогу. Компьютер, на котором запущен провайдер членства, не обязательно должен быть членом какого-либо домена AD, но вам нужно настроить его с помощью действительных учетных данных из AD, чтобы он функционировал. - Evan Anderson
@ArthurRonald - Непривилегированные пользователи могут привязываться к Active Directory и запрашивать их по умолчанию. На самом деле это, вероятно, лучше, если вы используете непривилегированных пользователей. Active Directory имеет довольно богатую модель ACL, и вы можете очень эффективно контролировать доступ к объектам и атрибутам. Вы должны связать с учетной записью, которая имеет достаточно привилегий, чтобы делать то, что вам нужно, но не более того. - Evan Anderson


Тип dsquery /? в командной строке.

Например: dsquery user -name Ja* получает строки подключения для всех пользователей с именами, начинающимися в Ja *.


21
2018-04-08 14:26



Мне нравится этот подход, он дает правильный порядок подразделений и т. Д. Чтобы сделать это очевидным, для использования этого возьмите LDAP: //dc1.corp.domain.com/ и вывод из команды и объедините их, чтобы легко создать строку ldap. - RandomUs1r
Какие инструменты вам нужны для использования этой команды? - Pred
Pred, см. Это ответ, - Stas Bushuev


Я просто использую этот инструмент от Softerra (они делают отличный бесплатный браузер LDAP), чтобы получить User DN от текущего пользователя: http://www.ldapbrowser.com/download.htm


16
2018-04-08 17:36



Шаг 1. На шаге «Учетные данные» выберите «В настоящий момент вошедший в систему пользователь (только для ActiveDirectory)». Шаг 2. Когда соединение будет создано, в его свойства перейдите на вкладку «Ввод» и скопируйте URL-адрес. Шаг 3: Используйте этот URL вместе с DN, найденным с помощью решения ErJab. - Nicolas Raoul


У меня всегда были проблемы с поиском правильного способа ввода OU. Команда dsquery ou domainroot предоставит вам список правильных имен всех подразделений в вашем домене. Не уверен, что это поможет для более крупной организации.


6
2018-06-03 08:07





  1. Установка средств администрирования удаленного сервера: http://www.microsoft.com/en-us/download/details.aspx?id=7887

  2. Откройте командную строку и введите> dsquery server

Для получения дополнительной информации, пожалуйста, проверьте это сообщение (внизу сообщения): http://www.schiffhauer.com/mvc-5-and-active-directory-authentication/


4
2018-04-15 20:59





Полный синтаксис http://www.faqs.org/rfcs/rfc2255.html


2
2018-02-20 02:50





Если вы откроете ADSIedit, он должен показать вам путь, когда вы выбираете Connect To ...

enter image description here


2
2017-07-27 09:56