Comment puis-je comprendre ma chaîne de connexion LDAP?

108

Nous sommes sur un réseau d'entreprise qui exécute Active Directory et nous aimerions tester certains éléments LDAP (fournisseur d'appartenance à Active Directory, en fait) et jusqu'à présent, aucun d'entre nous ne peut déterminer quelle est notre chaîne de connexion LDAP. Est-ce que quelqu'un sait comment on peut s'y prendre pour le trouver? La seule chose que nous savons, c'est le domaine dans lequel nous sommes.

active-directory ldap connection-strings Allen
la source

Réponses:

101

Le fournisseur d'appartenance ASP.NET Active Directory établit une liaison authentifiée à Active Directory à l'aide d'un nom d'utilisateur, d'un mot de passe et d'une "chaîne de connexion" spécifiés. La chaîne de connexion est composée du nom du serveur LDAP et du chemin qualifié complet de l'objet conteneur dans lequel se trouve l'utilisateur spécifié.

La chaîne de connexion commence par l'URI LDAP://.

Pour le nom du serveur, vous pouvez utiliser le nom d'un contrôleur de domaine de ce domaine, par exemple "dc1.corp.domain.com". Cela nous donne donc LDAP://dc1.corp.domain.com/loin.

Le bit suivant est le chemin d'accès complet de l'objet conteneur dans lequel se trouve l'utilisateur de liaison. Supposons que vous utilisez le compte "Administrateur" et que le nom de votre domaine est "corp.domain.com". Le compte "Administrateur" se trouve dans un conteneur nommé "Utilisateurs" situé un niveau sous la racine du domaine. Ainsi, le DN complet du conteneur « Utilisateurs » serait: CN=Users,DC=corp,DC=domain,DC=com. Si l'utilisateur avec lequel vous vous associez se trouve dans une unité d'organisation, au lieu d'un conteneur, le chemin d'accès inclurait "OU = ou-name".

Ainsi, utiliser un compte dans une unité d'organisation nommée Service Accountsqui est une sous-unité d'organisation d'une unité d'organisation nommée Corp Objectsqui est une sous-unité d'organisation d'un domaine nommé corp.domain.comaurait un chemin complet de OU=Service Accounts,OU=Corp Objects,DC=corp,DC=domain,DC=com.

Combinez le LDAP://dc1.corp.domain.com/avec le chemin complet du conteneur où se trouve l'utilisateur de liaison (par exemple, LDAP://dc1.corp.domain.com/OU=Service Accounts,OU=Corp Objects,DC=corp,DC=domain,DC=com), et vous obtenez votre "chaîne de connexion".

(Vous pouvez utiliser le nom du domaine dans la chaîne de connexion, par opposition au nom d'un contrôleur de domaine. La différence est que le nom du domaine sera résolu en adresse IP de tout contrôleur de domaine du domaine. Cela peut être à la fois bon et mauvais. Vous ne comptez pas sur un seul contrôleur de domaine pour que le fournisseur d'appartenance fonctionne, mais le nom a tendance à disparaître, par exemple, en tant que contrôleur de domaine situé dans un emplacement distant avec une connectivité réseau inégal, vous risquez alors d'avoir des problèmes d'adhésion. fournisseur de travail.)

Evan Anderson
la source
Avec SBS 2008 au moins, on dirait qu’ils ont commencé à se conformer au préfixe standard "OU" dans la chaîne des OU: CN = Votre nom, OU = Utilisateurs, DC = exemple, DC = local Nous fonctionnons au niveau fonctionnel 2003.
Gravyface
Très bonne réponse. Puis-je fournir les informations de connexion du compte interrogateur au contrôleur de domaine étranger dans la chaîne de connexion?
Dan
Donc, vous voulez dire que la machine distante accédant à ActiveDirectory devrait être dans son propre domaine? Que se passe-t-il si ma machine locale n'est pas dans son domaine? Si ma machine est dans un groupe de travail, dois-je passer 2 informations d'identification pour authentifier un utilisateur? Je veux dire, l'un pour se connecter à la machine Windows Server et l'autre consiste à valider le nom d'utilisateur et le mot de passe de l'utilisateur ActiveDirectory. Ai-je raison?
Dinesh Kumar P
@DineshKumarP: J'ai un peu de mal à vous analyser. Le fournisseur d'appartenance utilise une information d'identification valide dans Active Directory (AD) pour se lier à l'annuaire. L'ordinateur qui exécute le fournisseur d'appartenance n'a pas besoin d'être membre d'un domaine AD, mais vous devez le configurer avec un identifiant valide de l'AD pour qu'il puisse fonctionner.
Evan Anderson
2
@ArthurRonald - Les utilisateurs non privilégiés peuvent se connecter et interroger Active Directory, par défaut. En fait, il vaut probablement mieux utiliser un utilisateur non privilégié. Active Directory possède un modèle de liste de contrôle d'accès assez riche et vous pouvez contrôler l'accès aux objets et aux attributs de manière très granulaire. Vous devez vous connecter avec un compte disposant de suffisamment de privilèges pour pouvoir vous fournir ce dont vous avez besoin, mais rien de plus.
Evan Anderson
23

Tapez dsquery /?une invite de commande.

Exemple: dsquery user -name Ja*obtient les chaînes de connexion pour tous les utilisateurs dont le nom commence par Ja *.

ErJab
la source
J'aime cette approche, elle donne l'ordre correct des unités d'organisation et autres. Pour bien comprendre, prenez LDAP: //dc1.corp.domain.com/ et le résultat de la commande & combinez-les afin de former facilement une chaîne ldap.
RandomUs1r
3
De quels outils avez-vous besoin pour installer cette commande?
Pred
Pred, voir cette réponse .
Stas Bushuev
18

Je viens d'utiliser cet outil de Softerra (qui constitue un excellent navigateur LDAP gratuit) pour obtenir le nom d'utilisateur de l'utilisateur actuellement connecté: http://www.ldapbrowser.com/download.htm

surface de gravité
la source
Étape 1: à l'étape "Informations d'identification", sélectionnez "Utilisateur actuellement connecté (ActiveDirectory uniquement)". Étape 2: Une fois la connexion créée, dans ses propriétés, accédez à l'onglet "Entrée" et copiez l'URL. Étape 3: Utilisez cette URL avec le nom distinctif trouvé avec la solution ErJab.
Nicolas Raoul
7

J'ai toujours eu du mal à trouver le bon moyen de taper l'UO. La commande dsquery ou domainrootvous donnera une liste des noms corrects de toutes les unités d'organisation de votre domaine. Je ne sais pas si cela aidera une grande organisation.

Nixphoe
la source
4

Si vous ouvrez ADSIedit, il devrait vous montrer le chemin lorsque vous choisissez de vous connecter à ...

entrez la description de l'image ici

KERR
la source
1

J'ai trouvé le moyen le plus simple :

Vous pouvez également trouver de

Serveur Active Directory -> Choisissez l'unité d'organisation -> Clic droit -> Propriétés -> AttributeEditor -> DistinguishedName

Je les ai de Microsoft Windows Server 2012 R2

Aravin
la source