Linux上使用ldapsearch命令通过AD GC查询指定用户

一,前言

需要你对Microsoft AD ,AD GC有一定的了解,并且AD要启用了GC。特别是要弄懂,林和域的关系,你才能明白GC在他俩之间的关系。

GC中文名:全局编录

会将你林下所有域的所有对象存储在一个目录里面,但是并没有存储该对象的所有属性,而是一些常用属性,例如账户名,手机号,电子邮件等。正常情况下,如果你只记得自己的用户名和密码,而不知道账户所在域,你是无法登录的,但是你可以通过GC进行查询自己所在的域,然后再登录。所以你可以把GC简单理解成一个对象常用信息存储目录,当然,GC还有很多强大的功能,这里只是让你将它简单具体化。

二,正文

1.命令构成 ,这里使用明文绑定验证给大家演示

ldapsearch -x -H ldap://<主机名>.<域名>:3268 -D "CN=<管理员名>,CN<管理员所在的组>,DC=<域名前半段>,DC=<域名后半段>" -W "<需要搜索的标识>" <需要搜索的属性>

2.命令拆解

下面是我的实操命令,DC是我主机名,TEST.ORG是我域名,Administrator是根域管理员,lkq是未知域的普通用户。

因为GC查询走的是3268端口,所以是固定的,必填。

然后登录了一个Administrator的管理员,这里是需要提供管理员所在的组和DN用于绑定用的; -W:提示输入Administrator的密码 ;

"cn=*lkq*" 利用dministrator的管理权限去搜索一个叫lkq用户的mail;我这里是通过账户名作为搜索标识,需要搜索的属性为mail。

ldapsearch -x -H ldap://DC.TEST.ORG:3268 -D "CN=Administrator,CN=Users,DC=TEST,DC=ORG" -W "cn=lkq" mail

注意这里的"CN=Administrator,CN=Users,DC=TEST,DC=ORG"和lkq这个用户是没有任何关系的,Administrator是一个根域的管理员账户,他有权查看和修改所有其他域账户的权利,。如果我这里演示登录lkq用户,因为这样就提前知道了lkq所在域了,测试也就没有准确性。

3.和常见命令的区别

这里搜索lkq这个用户的时候,没有通过-b去指定用户所在的域和位置,而是指定端口3268说明使用GC进行搜索。如果将ldap://DC.TEST.ORG:3268换成ldap://DC.TEST.ORG:389,使用普通ldap搜索,函数就会执行失败。因为如果你不通过GC全局目录,Administrator根本不知道lkq在哪个域,又如何查看他的属性呢?

当你把3268和389两个端口都使用命令行执行出结果,你就能更加的理解GC他到底是个什么,而不是一个抽象的东西了。

相关推荐
程序媛小果8 分钟前
基于java+SpringBoot+Vue的宠物咖啡馆平台设计与实现
java·vue.js·spring boot
追风林13 分钟前
mac m1 docker本地部署canal 监听mysql的binglog日志
java·docker·mac
芒果披萨27 分钟前
El表达式和JSTL
java·el
duration~1 小时前
Maven随笔
java·maven
zmgst1 小时前
canal1.1.7使用canal-adapter进行mysql同步数据
java·数据库·mysql
€☞扫地僧☜€1 小时前
docker 拉取MySQL8.0镜像以及安装
运维·数据库·docker·容器
hjjdebug1 小时前
linux 下 signal() 函数的用法,信号类型在哪里定义的?
linux·signal
其乐无涯1 小时前
服务器技术(一)--Linux基础入门
linux·运维·服务器
跃ZHD1 小时前
前后端分离,Jackson,Long精度丢失
java
Diamond技术流1 小时前
从0开始学习Linux——网络配置
linux·运维·网络·学习·安全·centos