سؤال كيف يمكنني معرفة سلسلة اتصال LDAP الخاصة بي؟


نحن على شبكة الشركة التي تقوم بتشغيل الدليل النشط ونحن نرغب في اختبار بعض عناصر LDAP (مقدم عضوية الدليل النشط ، في الواقع) وحتى الآن ، لا يمكن لأي منا معرفة ما لدينا سلسلة اتصال LDAP. هل يعرف أحد كيف يمكننا البحث عن ذلك؟ الشيء الوحيد الذي نعرفه هو النطاق الذي نحن فيه.


99
2018-04-08 13:43


الأصل




الأجوبة:


يقوم موفر عضوية ASP.NET Active Directory بربط موثقة بـ Active Directory باستخدام اسم مستخدم محدد وكلمة مرور و "سلسلة اتصال". تتكون سلسلة الاتصال من اسم خادم LDAP ، والمسار المؤهل تمامًا لعنصر الحاوية الذي يوجد به المستخدم المحدد.

تبدأ سلسلة الاتصال بـ URI LDAP://.

بالنسبة لاسم الخادم ، يمكنك استخدام اسم وحدة تحكم المجال في هذا المجال - دعنا نقول "dc1.corp.domain.com". هذا يعطينا LDAP://dc1.corp.domain.com/ هذا البعد.

البت التالي هو المسار المؤهل بالكامل لعنصر الحاوية حيث يوجد مستخدم الربط. لنفترض أنك تستخدم حساب "المسؤول" وأن اسم نطاقك هو "corp.domain.com". يقع حساب "المسؤول" في حاوية باسم "المستخدمون" ، حيث يوجد مستوى واحد أسفل جذر النطاق. وبالتالي ، سيكون الاسم المميز الكامل لحاوية "المستخدمون" هو: CN=Users,DC=corp,DC=domain,DC=com. إذا كان المستخدم الذي تقوم بربطه في OU ، بدلاً من حاوية ، سيتضمن المسار "OU = ou-name".

لذلك ، باستخدام حساب في OU المسمى Service Accounts هذا هو OU الفرعي من OU المسمى Corp Objects هذا هو OU الفرعي للنطاق يدعى corp.domain.com سيكون لها مسار مؤهل بالكامل OU=Service Accounts,OU=Corp Objects,DC=corp,DC=domain,DC=com.

الجمع بين LDAP://dc1.corp.domain.com/ مع المسار المؤهل تمامًا للحاوية حيث يوجد مستخدم الربط (مثل ، على سبيل المثال ، LDAP://dc1.corp.domain.com/OU=Service Accounts,OU=Corp Objects,DC=corp,DC=domain,DC=com) وكنت قد حصلت على "سلسلة الاتصال" الخاصة بك.

(يمكنك استخدام اسم المجال في سلسلة الاتصال بدلاً من اسم وحدة تحكم المجال. والفرق هو أن اسم المجال سيتم حل عنوان IP الخاص بـ أي وحدة تحكم المجال في المجال. يمكن أن يكون ذلك جيدًا وسيئًا. أنت لا تعتمد على أي وحدة تحكم مجال واحدة لتكون قيد التشغيل لمزود العضوية للعمل ، ولكن الاسم يحدث لحل ، على سبيل المثال ، DC في مكان بعيد مع اتصال شبكة متقطعة ثم قد يكون لديك مشاكل مع العضوية مزود العمل.)


93
2018-04-08 14:19



مع SBS 2008 على الأقل ، يبدو أنها بدأت تتوافق مع البادئة "OU" القياسية في السلسلة الخاصة بالوحدات التنظيمية: CN = اسمك ، OU = Users ، DC = example ، DC = local. 2003. - gravyface
جواب رائع. هل يمكنني توفير تفاصيل تسجيل الدخول الخاصة بحساب الاستعلام إلى وحدة تحكم المجال الأجنبية في سلسلة الاتصال؟ - Dan
لذلك تقصد ذلك ، يجب أن يكون الجهاز البعيد الوصول إلى ActiveDirectory في المجال الخاص به؟ ماذا لو لم يكن الجهاز المحلي في مجاله؟ إذا كان الجهاز الخاص بي في مجموعة عمل ، فهل أحتاج إلى تمرير بيانات اعتماد 2 لمصادقة مستخدم؟ أعني ، واحد لتسجيل الدخول إلى جهاز WindowsServer والآخر هو التحقق من صحة اسم المستخدم وكلمة المرور للمستخدم ActiveDirectory. هل انا على حق؟ - Dinesh Kumar P
تضمين التغريدة ردًا علىDineshKumarP: I am having a little problem pararsing you. يستخدم "موفر العضوية" بيانات اعتماد صالحة في Active Directory (AD) لربط الدليل. لا يحتاج الكمبيوتر الذي يقوم بتشغيل موفر العضوية أن يكون عضوًا في أي مجال AD ، ولكن يجب عليك تكوينه باستخدام بيانات اعتماد صالحة من AD حتى يعمل. - Evan Anderson
ArthurRonald - يمكن للمستخدمين غير المتمرسين الربط والاستعلام عن Active Directory ، بشكل افتراضي. في الواقع ، من الأفضل أن تستخدم مستخدمًا محرومًا. يحتوي Active Directory على نموذج ACL ثري إلى حد كبير ، ويمكنك التحكم في الوصول إلى الكائنات والسمات بطريقة دقيقة جدًا. يجب عليك الربط بحساب يتمتع بامتياز كافٍ للقيام بما تحتاج إليه ولكن ليس أكثر من ذلك. - Evan Anderson


نوع dsquery /? في موجه الأوامر.

على سبيل المثال: dsquery user -name Ja* يحصل على سلاسل الاتصال لجميع المستخدمين مع أسماء تبدأ في Ja *.


22
2018-04-08 14:26



أنا أحب هذا النهج ، فإنه يعطي الترتيب الصحيح من OUs ومثل. لجعل الأمر واضحًا ، لاستخدام هذا الإجراء ، يمكنك استخدام LDAP: //dc1.corp.domain.com/ والإخراج من الأمر ودمجهما لتكوين سلسلة ldap بسهولة. - RandomUs1r
ما هي الأدوات التي تحتاجها للتثبيت من أجل استخدام هذا الأمر؟ - Pred
فخر ، انظر هذا إجابة. - Stas Bushuev


أنا فقط استخدم هذه الأداة من Softerra (أنها تقدم متصفح LDAP مجاني ممتاز) للحصول على DN للمستخدم من المستخدم الذي قام بتسجيل الدخول حاليًا: http://www.ldapbrowser.com/download.htm


16
2018-04-08 17:36



الخطوة 1: في خطوة "بيانات الاعتماد" ، حدد "المستخدم المسجل حاليًا (ActiveDirectory فقط)". الخطوة 2: عندما يتم إنشاء الاتصال ، انتقل في خصائصه إلى علامة التبويب "Entry" وانسخ عنوان URL. الخطوة 3: استخدم عنوان URL هذا مع الاسم المميز الموجود مع حل ErJab. - Nicolas Raoul


كان لدي دائما مشاكل في العثور على الطريقة الصحيحة لكتابة OU. الامر dsquery ou domainroot سيمنحك قائمة بالأسماء الصحيحة لجميع OUs في نطاقك. لست متأكدًا مما إذا كان هذا سيساعد منظمة أكبر.


6
2018-06-03 08:07





  1. تثبيت أدوات إدارة الخادم عن بعد: http://www.microsoft.com/en-us/download/details.aspx؟id=7887

  2. افتح موجه الأوامر وأدخل> خادم dsquery

لمزيد من المعلومات ، يرجى التحقق من هذه المشاركة (أسفل المشاركة): http://www.schiffhauer.com/mvc-5-and-active-directory-authentication/


4
2018-02-20 02:50





إذا قمت بفتح ADSIedit ، يجب أن تظهر لك المسار عندما تختار الاتصال بـ ...

enter image description here


3
2018-04-15 20:59





بناء الجملة الكامل هو في http://www.faqs.org/rfcs/rfc2255.html


2
2017-07-27 09:56





لقد وجدت طريقة أسهل:

يمكنك أيضًا العثور عليه من

خادم الدليل النشط -> اختر الوحدة التنظيمية الوحدة التنظيمية -> اليمين   انقر فوق -> خصائص -> AttributeEditor -> DistinguishedName

حصلت على هذه من مايكروسوفت ويندوز سيرفر 2012 R2


1