Pregunta ¿Cómo puedo averiguar mi cadena de conexión LDAP?


Estamos en una red corporativa que ejecuta Active Directory y nos gustaría probar algunas cosas LDAP (en realidad, el proveedor de membresía de Active Directory) y hasta ahora, ninguno de nosotros puede descubrir cuál es nuestra cadena de conexión LDAP. ¿Alguien sabe cómo podemos ir para encontrarlo? Lo único que sabemos es el dominio en el que estamos.


99
2018-04-08 13:43


origen




Respuestas:


El proveedor de membresía de Active Directory de ASP.NET realiza un enlace autenticado al Active Directory utilizando un nombre de usuario, contraseña y "cadena de conexión" especificados. La cadena de conexión está formada por el nombre del servidor LDAP y la ruta de acceso completa del objeto contenedor donde se encuentra el usuario especificado.

La cadena de conexión comienza con el URI LDAP://.

Para el nombre del servidor, puede usar el nombre de un controlador de dominio en ese dominio, digamos "dc1.corp.domain.com". Eso nos da LDAP://dc1.corp.domain.com/ hasta ahora.

El siguiente bit es la ruta completa del objeto contenedor donde se encuentra el usuario de enlace. Digamos que está utilizando la cuenta de "Administrador" y el nombre de su dominio es "corp.domain.com". La cuenta "Administrador" está en un contenedor llamado "Usuarios" ubicado un nivel debajo de la raíz del dominio. Por lo tanto, el DN completo del contenedor "Usuarios" sería: CN=Users,DC=corp,DC=domain,DC=com. Si el usuario con el que está enlazado está en una OU, en lugar de un contenedor, la ruta incluiría "OU = ou-name".

Entonces, usando una cuenta en una unidad organizativa llamada Service Accounts eso es una sub-OU de una OU llamada Corp Objects eso es una sub-OU de un dominio llamado corp.domain.com tendría un camino completamente calificado de OU=Service Accounts,OU=Corp Objects,DC=corp,DC=domain,DC=com.

Combinar la LDAP://dc1.corp.domain.com/ con la ruta completa al contenedor donde se encuentra el usuario de enlace (como, por ejemplo, LDAP://dc1.corp.domain.com/OU=Service Accounts,OU=Corp Objects,DC=corp,DC=domain,DC=com) y tienes tu "cadena de conexión".

(Puede usar el nombre del dominio en la cadena de conexión en lugar del nombre de un controlador de dominio. La diferencia es que el nombre del dominio se resolverá con la dirección IP de alguna controlador de dominio en el dominio. Eso puede ser bueno o malo. No depende de ningún controlador de dominio único para que el proveedor de membresía funcione y se ejecute, pero el nombre se resuelve en, por ejemplo, un DC en una ubicación remota con conectividad de red irregular, por lo que puede tener problemas con la membresía proveedor trabajando.)


93
2018-04-08 14:19



Al menos con SBS 2008, parece que comenzaron a ajustarse al prefijo estándar "OU" en la cadena para las unidades organizativas: CN = Su nombre, OU = Usuarios, DC = ejemplo, DC = local Estamos ejecutando el nivel funcional 2003. - gravyface
Gran respuesta. ¿Puedo proporcionar los detalles de inicio de sesión de la cuenta de consulta al controlador de dominio externo en la cadena de conexión? - Dan
¿Quiere decir que la máquina remota que accede a ActiveDirectory debería estar en su propio dominio? ¿Qué pasa si mi máquina local no está en su dominio? Si mi máquina está en un grupo de trabajo, ¿necesito pasar 2 credenciales para autenticar a un usuario? Quiero decir, uno para iniciar sesión en la máquina de Windows Server y el otro es validar el nombre de usuario y la contraseña de ActiveDirectory. Estoy en lo cierto - Dinesh Kumar P
@DineshKumarP: Tengo problemas para analizarte. El proveedor de membresía utiliza una credencial válida en Active Directory (AD) para enlazar con el directorio. La computadora que ejecuta el proveedor de membresía no necesita ser miembro de ningún dominio de AD, pero debe configurarlo con una credencial válida de AD para que funcione. - Evan Anderson
@ArthurRonald: los usuarios sin privilegios pueden vincularse y consultar Active Directory, de forma predeterminada. De hecho, es probable que sea mejor si usa usuarios sin privilegios. Active Directory tiene un modelo de ACL bastante rico, y puede controlar el acceso a objetos y atributos de forma muy granular. Debe vincularse con una cuenta que tenga privilegios suficientes para hacer lo que necesita, pero no más. - Evan Anderson


Tipo dsquery /? en un símbolo del sistema.

P.ej: dsquery user -name Ja* obtiene las cadenas de conexión para todos los usuarios con nombres que comienzan en Ja *.


22
2018-04-08 14:26



Me gusta este enfoque, da el orden correcto de las unidades organizativas y tal. Para que sea obvio, use LDAP: //dc1.corp.domain.com/ y la salida del comando y combínelos para formar una cadena ldap tranquila. - RandomUs1r
¿Qué herramientas necesitas instalar para usar este comando? - Pred
Pred, mira esto responder. - Stas Bushuev


Solo uso esta herramienta de Softerra (hacen un excelente navegador LDAP gratuito) para obtener el DN de usuario del usuario que ha iniciado sesión actualmente: http://www.ldapbrowser.com/download.htm


16
2018-04-08 17:36



Paso 1: en el paso "Credenciales", seleccione "Usuario actualmente conectado (solo ActiveDirectory)". Paso 2: cuando se crea la conexión, en sus Propiedades, vaya a la pestaña "Entrada" y copie la URL. Paso 3: Use esa URL junto con el DN que se encuentra con la solución de ErJab. - Nicolas Raoul


Siempre tuve problemas para encontrar la forma correcta de escribir la OU. El comando dsquery ou domainroot le dará una lista de los nombres correctos de todas las unidades organizativas de su dominio. No estoy seguro si esto ayudará a una organización más grande.


6
2018-06-03 08:07





  1. Instale las herramientas de administración remota del servidor: http://www.microsoft.com/en-us/download/details.aspx?id=7887

  2. Abra un símbolo del sistema y entre> dsquery server

Para obtener más información, consulte esta publicación (parte inferior de la publicación): http://www.schiffhauer.com/mvc-5-and-active-directory-authentication/


4
2018-02-20 02:50





Si abre ADSIedit, debería mostrarle la ruta cuando elija Conectarse a ...

enter image description here


3
2018-04-15 20:59





La sintaxis completa está en http://www.faqs.org/rfcs/rfc2255.html


2
2017-07-27 09:56