Início / server / Perguntas / 775682
Accepted
Kit Sunde
Asked: 2016-05-10 06:58:12 +0800 CST

Por que user@domain e cn=user,dc=domain não são equivalentes?

  • 772

Configurei um Simple AD na AWS que posso finalmente autenticar com o LDAP. Não entendo por que não consegui usar o dc=que é amplamente sugerido em todos os lugares, mas posso usar arquivos @domain.

ldap_bind($ldapconn, "cn=Administrator,dc=ldap,dc=patontheback,dc=org", "<password>");
ldap_bind($ldapconn, "[email protected]", "<password>");

Estes não deveriam ser equivalentes? O @domain sempre funcionará ou será específico para o Simple AD?

insira a descrição da imagem aqui

ldap aws-directory-service

3 respostas

  1. Best Answer

    O OP forneceu informações adicionais da localização do usuário Administrador para que ele tenha que usarcn=Administrator,ou=Users,dc=ldap,dc=pathontheback,dc=org

    EDIT: Cometeu um erro de digitação, tem que ser: cn=Administrator,cn=Users,dc=ldap,dc=pathontheback,dc=org

    Users é um contêiner, não OU.

    • 5

  2. Um pouco de leitura sobre LDAP e DNs pode estar em ordem aqui.

    Um nome distinto (geralmente apenas abreviado para DN) identifica exclusivamente uma entrada e descreve sua posição no DIT. Um DN é muito parecido com um caminho absoluto em um sistema de arquivos, exceto enquanto os caminhos do sistema de arquivos geralmente começam com a raiz do sistema de arquivos e descem na árvore da esquerda para a direita, os DNs LDAP sobem na árvore da esquerda para a direita.

    Portanto, se você deseja especificar o DN da conta de administrador em seu domínio, precisa especificar o caminho completo (e correto) para ele. Como mostra sua captura de tela (e o fato de ser padrão no AD), a conta do administrador está no contêiner Usuários.

    Observe que usei a palavra container e não OU. Nem todo contêiner no AD é uma unidade organizacional e a maioria dos padrões que existem, na verdade, não são. Você pode ver rapidamente comparando o ícone para Userscom o ícone para Domain Controllers. Se for muito sutil, você também pode verificar o objectClassatributo real de cada um. OU's conterão organizationalUnite contêineres normais terão arquivos container. Em um valor DN, as OUs têm "OU=" como chave RDN e os contêineres têm "CN=" como chave RDN.

    De qualquer forma, você realmente não precisa descobrir tudo isso manualmente quando estiver procurando o DN de algo no dia a dia. Basta abrir (ou consultar) as propriedades do objeto que você procura e verificar o distinguishedNameatributo. Isso fornecerá o caminho completo e correto sem tentar encadear manualmente vários RDNs e contextos.

    TL;DR O DN da conta de administrador em seu domínio de exemplo éCN=Administrator,CN=Users,DC=ldap,DC=patontheback,DC=org

    Dito isso, é uma prática melhor continuar fazendo o que você está fazendo e usar o UPN (usuário@domínio.exemplo.com) para vincular contas ao AD porque elas têm menos probabilidade de mudar do que um valor DN.

    • 5

  3. A resposta de @Ryan Bolger tem uma explicação muito boa. Queria incluir um exemplo mais completo para quem gosta de ver o que acontece com vários comandos.

    Por exemplo, eu uso o seguinte para o binddndistinguishedName: CN=auser,OU=IT Dev,OU=localdomain Users,DC=localdomain,DC=lan

    -D 'CN=auser,OU=IT Dev,OU=localdomain Users,DC=localdomain,DC=lan'

    ou o UPNuserPrincipalName: [email protected]

    -D '[email protected]'

    As linhas a seguir produzirão a mesma saída abaixo

    ldapsearch -x -h '192.168.0.10' -D 'CN=Auser,OU=IT Dev,OU=localdomain Users,DC=localdomain,DC=lan' -w password -b"cn=auser,OU=IT Dev,OU=localdomain Users,dc=localdomain,dc=lan" -s sub "objectclass=*"

    ou

    ldapsearch -x -h '192.168.0.10' -D '[email protected]' -w password -b"cn=auser,OU=IT Dev,OU=localdomain Users,dc=localdomain,dc=lan" -s sub "objectclass=*"

    A mesma saída será gerada

    # extended LDIF
#
# LDAPv3
# base <cn=auser,OU=IT Dev,OU=localdomain Users,dc=localdomain,dc=lan> with scope subtree
# filter: objectclass=*
# requesting: ALL
#

# auser, IT Dev, localdomain Users, localdomain.lan
dn: CN=GitLab,OU=IT Dev,OU=localdomain Users,DC=localdomain,DC=lan
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: auser
givenName: auser
distinguishedName: CN=auser,OU=IT Dev,OU=localdomain Users,DC=localdomain,DC=lan
instanceType: 4
whenCreated: 20190221073536.0Z
whenChanged: 20190221080923.0Z
displayName: auser
uSNCreated: 108114404
memberOf: CN=groupofusers,OU=localdomain Groups,DC=localdomain,DC=lan
uSNChanged: 108116177
name: auser
userAccountControl: 66048
codePage: 0
countryCode: 0
primaryGroupID: 513
accountExpires: 9223372036854775807
sAMAccountName: auser
sAMAccountType: 805306368
userPrincipalName: [email protected]
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=localdomain,DC=lan
dSCorePropagationData: 16010101000000.0Z
lastLogonTimestamp: 131952101637691018

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1
    • 0

relate perguntas