问题[ldapsearch](server)

努力将服务器绑定到 ldap（活动目录）并且一直在努力获得简单的绑定工作。我尝试过的命令是：

ldapsearch -x -H ldap://192.168.10.10 -b "dc=example,dc=domain,dc=com" -D "cn=bind_user,dc=example,dc=domain,dc=com"-W
ldapsearch -x -H ldap://192.168.10.10 -b "dc=example,dc=domain,dc=com" -D "cn=bind_user,ou=Users,dc=example,dc=domain,dc=com" -W
ldapsearch -x -H ldap://192.168.10.10 -b "dc=example,dc=domain,dc=com" -D "cn=bind_user,cn=Users,dc=example,dc=domain,dc=com" -W

我的 LDAP 服务器是活动目录（Windows 2016）。我的域是 example.domain.com。我不相信我的 OU 结构有什么特别之处。用户像往常一样生活在“用户”区域下。通过防火墙打开端口 389。默认情况下阻止匿名绑定

关于为什么这个简单的绑定不起作用的想法？我已经尝试了大概 20 种以上的口味，但没有运气。

我收到的错误是：

Enter LDAP Password:
ldap_bind: Invalid credentials (49)
    additional info: 80090308: LdapErr: DSID-0C09044E, comment: AcceptSecurityContext error, 
data 52e, v2580

错误告诉我这是一个错误的凭证或 DN，但无法看到/理解可能出现的问题。谢谢！

我们使应用程序能够使用 LDAP。

在应用程序的配置中，我们需要通知一个 URL 来连接 LDAP。我们目前提供以下网址...

ldap://10.2.0.5:389/dc=domain,dc=abc,dc=de?uid

问题：我们需要在上面的 URL 中添加一个过滤器，以便仅定位属于“accessgroup”组的用户，以便将应用程序访问权限限制为仅属于该组的用户。

也就是说，类似的东西......

curl "ldap://10.2.0.5:389/dc=domain,dc=abc,dc=de?uid?sub?(&(memberof=cn=accessgroup,ou=groups,dc=domain,dc=abc,dc=de)(uid=%s))"

我们已经尝试了数百种设置，但没有任何效果... =|

团体

cn:
accessgroup

gidNumber:
1004

memberUid:
usera
userb
userc
userd
usere
userf
userg
userh
useri

objectClass:
top
posixGroup

用户

cn:
User Letter A

gecos:
User Letter A

gender:
M

gidNumber:
544

givenName:
User

gotoLastSystemLogin:
01.01.1970 00:00:00

homeDirectory:
/home/usera

loginShell:
/bin/bash

mail:
[email protected]

objectClass:
top
person
organizationalPerson
inetOrgPerson
gosaAccount
posixAccount
shadowAccount
sambaSamAccount

[...]

uid:
usera

uidNumber:
1004

[...]

谢谢！=D

即我有一个用户名 - tonysmith，当我对 DC 中的所有帐户运行查询时，不会返回 tonysmith，除非我专门查询 sAMAccountName=tonysmith。是什么赋予了？

我有一个 AD 环境，在 ldapsearch 中，我能够使用 DNS 中的 SRV 记录来解析域和站点中的 LDAP 服务器。

这适用于 389 上的常用 ldap 端口，具有基本身份验证和 STARTTLS。

但是，一些可怕的客户端不会执行 STARTTLS，或者供应商无法提供配置它的方法。[1] 所以我们需要在 636 上为 LDAPS 提供一个选项。

原则上，我相信创建 ldaps SRV 记录和使用ldaps:///URI 应该可以工作。我在域区域中创建了 2 个 ldaps SRV 记录（有 3 个 ldap 主机），但是当我这样做ldapsearch并指定时ldaps:///，它发现的只是 ldap 主机。

这是ldapsearch命令 - 它在端口389上返回三个带有 _ldap SRV 的 DC

$ ldapsearch -v -H "ldaps:///dc%3Devl%2Cdc%3Dexample%2Cdc%3Dcom" -D "user" -W -b "DC=evl,DC=example,DC=com" -b "" -s base "(objectclass=*)" -d 1

ldap_url_parse_ext(ldaps:///dc%3Devl%2Cdc%3Dexample%2Cdc%3Dcom)
ldap_initialize( ldaps://EVLADC002vs.evl.example.com:389 ldaps://EVLADC001vs.evl.example.com:389 ldaps://EVLADC006vs.evl.example.com:389 )
ldap_create
ldap_url_parse_ext(ldaps://EVLADC006vs.evl.example.com:389)
ldap_url_parse_ext(ldaps://EVLADC001vs.evl.example.com:389)
ldap_url_parse_ext(ldaps://EVLADC002vs.evl.example.com:389)

但是，客户端机器可以解析_ldaps的两个SRV，端口为636

$ dig -t SRV _ldaps._tcp.evl.example.com +short
0 100 636 EVLADC002vs.evl.example.com.
0 100 636 EVLADC001vs.evl.example.com.

这是用于比较的 LDAP SRV

$ dig -t SRV _ldap._tcp.evl.example.com +short
0 100 389 EVLADC001vs.evl.example.com.
0 100 389 EVLADC006vs.evl.example.com.
0 100 389 EVLADC002vs.evl.example.com.

如果我在 ldaps 上查询特定服务器，一切都很好

$ ldapsearch -H ldaps://evladc001vs.evl.example.com -D "user" -W -b "" -s base "(objectclass=*)"
# extended LDIF
#
# LDAPv3
# base <> with scope baseObject
# filter: (objectclass=*)
# requesting: ALL
#

#
dn:
currentTime: 20200213045340.0Z
subschemaSubentry: CN=Aggregate,CN=Schema,CN=Configuration,DC=evl,DC=example,DC=com
dsServiceName: CN=NTDS Settings,CN=EVLADC001VS,CN=Servers,CN=Server,CN=Sites,CN=Configuration,DC=evl,DC=example,DC=com
...  

对于我是否缺少某些选项或其他明显的问题，我将不胜感激。

[1]：请不要从使用不同产品的讲座开始。大企业无论如何都有集成问题 - 尝试告诉医院系统购买不同的价值数百万美元的软件以满足他们的特定需求