LDAP päringute tegemine15. Nov '15

Paigaldus

Peale Linuxi masina domeeni liitmist saab LDAP päringud domeenikontrolleri pihta teha kasutades arvuti keytabi. Selleks paigalda:

sudo apt-get install ldap-utils dnsutils libsasl2-modules-gssapi-heimdal

Viimane neist on vajalik päringute autentimiseks Kerberose abil.

Kerberosega päringu tegemine

Esmalt veendu, et domeenikontrolleri IP lahendub tagasi hostinimeks:

nslookup dc1.example.com
nslookup 192.168.?.?

Seejärel küsi domeenikontrollerist arvutile vastav ticket-granting-ticket:

sudo -i
kinit -k NETBIOS-NIMI\$

Või lihtsalt:

kinit -k $(grep "netbios name" /etc/samba/smb.conf | cut -d "=" -f 2)\$

Seejärel proovi kas saad päringut sooritada:

ldapsearch -Y GSSAPI -H ldap://dc1.example.com -b dc=example,dc=com

Päring peaks tagastama kõik domeenikontrolleris olevad objektid ühtegi parooli tippimata.

Konfiguratsioonifailid

Trükkimisvaeva vähendamiseks võib kõik selle lisada faili /etc/ldap/ldap.conf järgnevalt:

URI ldap://dc1.example.com
BASE dc=example,dc=com

Edaspidi piisab lihtsalt järgnevast, et kuvada kõik domeenikontrolleris olevad objektid:

ldapsearch

Kasutajate saamiseks lisa otsingufilter:

ldapsearch '(&(objectClass=user)(objectCategory=person))'

Kasulikud päringud

Parajasti sisse logitud kasutaja leidmine:

ldapsearch samaccountname=$USER

Kasutaja konkreetseete attribuutide leidimine:

ldapsearch -LLL samaccountname=$USER cn

Täpitähtedega nime puhul peab veidi rohkem võimlema:

ldapsearch -LLL samaccountname=$USER cn | grep cn | cut -d ' ' -f 2 | base64 -d

Võrguketta järjehoidja lisamine

Nii saame näiteks automatiseerida võrguketta järjehoidja lisamise /etc/X11/Xsession.d/95generate-gtk-bookmarks skriptis:

URL=$(ldapsearch -LLL samaccountname=$USER homeDirectory |  sed -e 's/^\\\\/smb:\/\//' | sed -e 's/\\/\//g')
echo "$URL Võrguketas" > ~/.gtk-bookmarks
Kerberos LDAP ldapsearch GSSAPI