ฉันจะตรวจสอบกับ LDAP ผ่านทางบรรทัดคำสั่งได้อย่างไร


35

เซิร์ฟเวอร์ LDAP โฮสต์อยู่บน Solaris ลูกค้าคือ CentOS การพิสูจน์ตัวตน OpenLDAP / NSLCD / SSH ผ่าน LDAP ใช้งานได้ดี แต่ฉันไม่สามารถใช้คำสั่ง ldapsearch เพื่อตรวจแก้จุดบกพร่องของปัญหา LDAP

[root@tst-01 ~]# ldapsearch
SASL/EXTERNAL authentication started
ldap_sasl_interactive_bind_s: Unknown authentication method (-6)
        additional info: SASL(-4): no mechanism available:
[root@tst-01 ~]# cat /etc/openldap/ldap.conf
TLS_CACERTDIR /etc/openldap/cacerts
URI ldap://ldap1.tst.domain.tld ldap://ldap2.tst.domain.tld
BASE dc=tst,dc=domain,dc=tld
[root@tst-01 ~]# ls -al /etc/openldap/cacerts
total 12
drwxr-xr-x. 2 root root 4096 Jun  6 10:31 .
drwxr-xr-x. 3 root root 4096 Jun 10 10:12 ..
-rw-r--r--. 1 root root  895 Jun  6 10:01 cacert.pem
lrwxrwxrwx. 1 root root   10 Jun  6 10:31 cf848aa4.0 -> cacert.pem
[root@tst-01 ~]#

ฉันได้ลองใช้การรับรองความถูกต้องด้วยใบรับรองผ่าน ldapsearch โดยให้ /etc/openldap/cacerts/cacert.pem เป็นพารามิเตอร์ แต่ไม่ยอมรับการรับรองนี้

คำตอบ:


60

คุณอาจต้องการปิด SASL และใช้การตรวจสอบสิทธิ์อย่างง่ายด้วยตัวเลือก "-x" ตัวอย่างเช่นการค้นหาเพื่อค้นหาผู้ใช้เฉพาะ

ldapsearch -x -D "uid=search-user,ou=People,dc=example,dc=com" \
           -W -H ldap://ldap.example.com -b "ou=People,dc=example,dc=com" \
           -s sub 'uid=test-user'

จะพบ "ผู้ใช้ทดสอบ" โดย

  • -D - ใช้ผู้ใช้ผูก "ค้นหาผู้ใช้"
  • -W - แจ้งให้ใส่รหัสผ่าน
  • -H - URL ของเซิร์ฟเวอร์ LDAP ไม่ใช่ SSL ในกรณีนี้ ใช้ "ldaps: //" สำหรับ SSL
  • -b - ฐานการค้นหา
  • -s - ขอบเขตการค้นหา - เช่นฐานสำหรับฐานของต้นไม้หนึ่งสำหรับในระดับลงและย่อยสำหรับการค้นหาซ้ำต้นไม้ (อาจใช้เวลาสักครู่)
  • ในที่สุดตัวกรองการค้นหาเป็นอาร์กิวเมนต์ที่ไม่ใช่ตัวเลือก ในกรณีนี้เราจะค้นหา uid ของ "test-user"

2
Fred มีความถูกต้องยกเว้นว่าคุณไม่จำเป็นต้องระบุฐานการค้นหาหรือโฮสต์หากคุณพอใจกับสิ่งที่ระบุใน/etc/openldap/ldap.confตัวอย่างต่อไปนี้น่าจะใช้งานได้: ldapsearch -x -D "<bind dn>" -W <query >
Jason Tan

เราจะระบุชื่อผู้ใช้สำหรับการเข้าสู่ระบบ ldap ได้อย่างไร
myloginid

มันขึ้นอยู่กับสิ่งที่คุณหมายถึงโดย "ชื่อผู้ใช้" bind DN (สำหรับการพิสูจน์ตัวตนเพื่อรันเคียวรี) ถูกกำหนดโดยอาร์กิวเมนต์ -D การค้นหาจริงในตัวอย่างนี้สำหรับบันทึกผู้ใช้จะได้รับในตัวกรองเป็นอาร์กิวเมนต์สุดท้าย
Fred Clausen

1
ขอบคุณมาก! คุณช่วยชีวิตฉันไว้ :)
อังคาร

6

ดูเหมือนว่าฉันถามคำถามเดียวกันที่: https://stackoverflow.com/questions/27571558/how-was-authentication-built-on-ldap

ดูhttp://thecarlhall.wordpress.com/2011/01/04/ldap-authentication-authorization-dissected-and-digested/ :

  • รับการเชื่อมต่อกับเซิร์ฟเวอร์ LDAP
  • ผูกในฐานะผู้ใช้แอปพลิเคชัน
  • ค้นหา DN (ชื่อจำเพาะ) ของผู้ใช้ที่จะรับรองความถูกต้อง
  • ผูกในฐานะผู้ใช้ที่จะรับรองความถูกต้องโดยใช้ DN จากขั้นตอนที่ 3

ที่อาจสรุปได้ว่า (ทดลองในบรรทัดคำสั่ง):

$ ldapsearch -x -h ldap.company.com -s sub -b 'dc=europe,dc=com' "uid=XYZ"
....
dn: uid=XYZ,dc=sales,dc=europe,dc=com
...
$ ldapsearch -W -h ldap.company.com -D 'uid=XYZ,dc=sales,dc=europe,dc=com' \
    -s sub -b 'dc=europe,dc=com' "uid=XYZ"

1

หมายเหตุหากคุณไม่ทราบ DN ที่ผูกมัดคุณสามารถใช้ชื่อผู้ใช้หรืออีเมลปกติของคุณได้ -U

ldapsearch -v -h contoso.com -U turiya.gouw@contoso.com -w 'MY_PASSWORD' -b 'DC=contoso,DC=com' '(objectClass=computer)'

0

เรากำลังใช้FreeIPA / IDMและฉันสามารถตรวจสอบได้โดยใช้สิ่งต่อไปนี้:

$ ldapsearch -h idm-01a.somednsdom.com \
    -D 'uid=<my username>,cn=users,cn=accounts,dc=somedcdom,dc=com' \
    -o ldif-wrap=no \
    -b 'cn=accounts,dc=somedcdom,dc=com' \
    -W uid=<my username>
คำอธิบาย
  • นี่จะคืนรายละเอียดทั้งหมดรอบ ๆ uid=<my username>
  • uid=<my username> คือตัวกรอง (ตัวกรองการค้นหา LDAP ที่เข้ากันได้กับ RFC 4515)
  • uid=<my username>เป็นแบบสอบถาม / กรองเพื่อดำเนินการ
  • o ldif-wrap=no ปิดการใช้งานการตัดผลลัพธ์
  • -Wกองกำลังldapsearchเพื่อแบบสอบถามสำหรับรหัสผ่านสำหรับชื่อที่แตกต่างผูกuid=<my username>,cn=users,cn=accounts,dc=somedcdom,dc=com
  • เมื่อได้รับพร้อมต์สำหรับรหัสผ่านสำหรับผู้ใช้นี้พรอมต์จะมีลักษณะดังนี้:

    Enter LDAP Password:
    
Refereneces

สำหรับการอ้างอิงจากldapsearchmanpage & CLI ความช่วยเหลือ:

   -D binddn
          Use the Distinguished Name binddn to bind to the LDAP directory.  
          For SASL binds, the server is expected to ignore this value.

   -b searchbase
          Use searchbase as the starting point for the search instead of the 
          default.

   -W     Prompt for simple authentication.  This is used instead of specifying 
          the password on the command line.

  -o <opt>[=<optparam] general options
             nettimeout=<timeout> (in seconds, or "none" or "max")
             ldif-wrap=<width> (in columns, or "no" for no wrapping)

ตัวอย่างเต็ม

$ ldapsearch -h idm-01a.somednsdom.com \
    -D 'uid=joeuser,cn=users,cn=accounts,dc=somedcdom,dc=com' \
    -o ldif-wrap=no \
    -b 'cn=accounts,dc=somedcdom,dc=com' \
    -W uid=joeuser

# extended LDIF
#
# LDAPv3
# base <cn=accounts,dc=somedcdom,dc=com> with scope subtree
# filter: uid=joeuser
# requesting: ALL
#

# joeuser, users, accounts, somedcdom.com
dn: uid=joeuser,cn=users,cn=accounts,dc=somedcdom,dc=com
memberOf: cn=ipausers,cn=groups,cn=accounts,dc=somedcdom,dc=com
memberOf: cn=sysadmin,cn=groups,cn=accounts,dc=somedcdom,dc=com
memberOf: ipaUniqueID=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXXXX,cn=sudorules,cn=sudo,dc=somedcdom,dc=com
memberOf: cn=eng-systems,cn=groups,cn=accounts,dc=somedcdom,dc=com
memberOf: ipaUniqueID=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXXXX,cn=hbac,dc=somedcdom,dc=com
memberOf: cn=admins,cn=groups,cn=accounts,dc=somedcdom,dc=com
memberOf: ipaUniqueID=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXXXX,cn=sudorules,cn=sudo,dc=somedcdom,dc=com
memberOf: cn=User Administrator,cn=roles,cn=accounts,dc=somedcdom,dc=com
memberOf: cn=User Administrators,cn=privileges,cn=pbac,dc=somedcdom,dc=com
memberOf: cn=System: Add User to default group,cn=permissions,cn=pbac,dc=somedcdom,dc=com
...
...
krbLoginFailedCount: 0
krbLastFailedAuth: 20190320223946Z
loginShell: /bin/bash
krbExtraData:: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
krbPasswordExpiration: 20190829144625Z
krbLastPwdChange: 20190302144625Z
krbLastAdminUnlock: 20190111080021Z
ipaSshPubKey: ssh-rsa A....XXXXXXXXXXXX...jelByox0PM5Q== joeuser@somednsdom.com
mepManagedEntry: cn=joeuser,cn=groups,cn=accounts,dc=somedcdom,dc=com
displayName: Joe User
uid: joeuser
krbCanonicalName: joeuser@SOMEDCDOM.COM
objectClass: top
objectClass: person
objectClass: organizationalperson
objectClass: inetorgperson
objectClass: inetuser
objectClass: posixaccount
objectClass: krbprincipalaux
objectClass: krbticketpolicyaux
objectClass: ipaobject
objectClass: ipasshuser
objectClass: ipaSshGroupOfPubKeys
objectClass: mepOriginEntry
initials: JU
gecos: Joe User
sn: Mingolelli
homeDirectory: /home/joeuser
mail: joeuser@somednsdom.com
krbPrincipalName: joeuser@SOMEDCDOM.COM
givenName: Joe
cn: Joe User
ipaUniqueID: XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
uidNumber: 900000000
gidNumber: 900000000
krbPwdPolicyReference: cn=admins,cn=SOMEDCDOM.COM,cn=kerberos,dc=somedcdom,dc=com

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.