Linux上使用ldapsearch命令通过AD GC查询指定用户

一,前言

需要你对Microsoft AD ,AD GC有一定的了解,并且AD要启用了GC。特别是要弄懂,林和域的关系,你才能明白GC在他俩之间的关系。

GC中文名:全局编录

会将你林下所有域的所有对象存储在一个目录里面,但是并没有存储该对象的所有属性,而是一些常用属性,例如账户名,手机号,电子邮件等。正常情况下,如果你只记得自己的用户名和密码,而不知道账户所在域,你是无法登录的,但是你可以通过GC进行查询自己所在的域,然后再登录。所以你可以把GC简单理解成一个对象常用信息存储目录,当然,GC还有很多强大的功能,这里只是让你将它简单具体化。

二,正文

1.命令构成 ,这里使用明文绑定验证给大家演示

ldapsearch -x -H ldap://<主机名>.<域名>:3268 -D "CN=<管理员名>,CN<管理员所在的组>,DC=<域名前半段>,DC=<域名后半段>" -W "<需要搜索的标识>" <需要搜索的属性>

2.命令拆解

下面是我的实操命令,DC是我主机名,TEST.ORG是我域名,Administrator是根域管理员,lkq是未知域的普通用户。

因为GC查询走的是3268端口,所以是固定的,必填。

然后登录了一个Administrator的管理员,这里是需要提供管理员所在的组和DN用于绑定用的; -W:提示输入Administrator的密码 ;

"cn=*lkq*" 利用dministrator的管理权限去搜索一个叫lkq用户的mail;我这里是通过账户名作为搜索标识,需要搜索的属性为mail。

ldapsearch -x -H ldap://DC.TEST.ORG:3268 -D "CN=Administrator,CN=Users,DC=TEST,DC=ORG" -W "cn=lkq" mail

注意这里的"CN=Administrator,CN=Users,DC=TEST,DC=ORG"和lkq这个用户是没有任何关系的,Administrator是一个根域的管理员账户,他有权查看和修改所有其他域账户的权利,。如果我这里演示登录lkq用户,因为这样就提前知道了lkq所在域了,测试也就没有准确性。

3.和常见命令的区别

这里搜索lkq这个用户的时候,没有通过-b去指定用户所在的域和位置,而是指定端口3268说明使用GC进行搜索。如果将ldap://DC.TEST.ORG:3268换成ldap://DC.TEST.ORG:389,使用普通ldap搜索,函数就会执行失败。因为如果你不通过GC全局目录,Administrator根本不知道lkq在哪个域,又如何查看他的属性呢?

当你把3268和389两个端口都使用命令行执行出结果,你就能更加的理解GC他到底是个什么,而不是一个抽象的东西了。

相关推荐
FF在路上1 分钟前
Knife4j调试实体类传参扁平化模式修改:default-flat-param-object: true
java·开发语言
真的很上进8 分钟前
如何借助 Babel+TS+ESLint 构建现代 JS 工程环境?
java·前端·javascript·css·react.js·vue·html
州周23 分钟前
Ftp目录整个下载
linux·服务器·数据库
Jackey_Song_Odd24 分钟前
Ubuntu 24.04.1 解决部分中文字符(门、径)显示错误的问题
linux·ubuntu
kaixin_learn_qt_ing37 分钟前
Linux export命令
linux
余额不足1213840 分钟前
C语言基础十六:枚举、c语言中文件的读写操作
linux·c语言·算法
众拾达人40 分钟前
Android自动化测试实战 Java篇 主流工具 框架 脚本
android·java·开发语言
皓木.42 分钟前
Mybatis-Plus
java·开发语言
不良人天码星42 分钟前
lombok插件不生效
java·开发语言·intellij-idea
冷曦_sole44 分钟前
linux-19 根文件系统(一)
linux·运维·服务器