关于ldap的互连问题！

hxnet88

有人尝试过在linux下访问windows的ldap服务器吗？该如何访问？openldap的客户端ldapsearch等工具可以访问吗？

py

可以，是一样的，我做过

hxnet88

不好意思，再问一下，具体该如何设置呢？ 可不可以举个简单的例子！
我用ldapsearch连接windows的AD的时候报错：
ldap_sasl_interactive_bind_s: Unknown authentication method (-6)
        additional info: SASL(-4): no mechanism available: No worthy mechs found
后来看了一下，由于AD用的是krb5，我连接的时候如何指定校验方法呢？

py

我理解错了，以为您在windows下装的也是openldap。
ldapsearch等工具不是openldap特有的，不过连接AD我没做过，不好意思。

gnap

我连接过AD,AD的用户的objectclass为User,位于user下,user的objectclass为Container.再向上就是域的后缀了.AD默认的安全策略是不允许匿名搜索的.所以必需要有合法验证的绑定才行:
ldapsearch -x -W -D "cn=username,cn=users,dc=domain-suffix" -b "basedn" -h host
或者是
ldap search -x -w cred -D "cn=username,cn=users,dc=domain-suffix" -b "basedn" -h host
其中-x对应API中的smiple_bind*().-w/-W 表示需要密码 -D "绑定的DN" -b "开始搜索的DN" -h 接主机的IP或者域名.
举例我在学校有一台实验用的域控制器主机名为troy.域为"osdn.zzti.edu.cn"我在我装fedora的笔记本上(名为osiris)上执行ldapsearch,命令如下:
ldapsearch -x -W -D "cn=administrator,cn=users,dc=osdn,dc=zzti,dc=edu,dc=cn" -b "cn=administrator,cn=users,dc=osdn,dc=zzti,dc=edu,dc=cn" -h troy.osdn.zzti.edu.cn
这样就回返回用户administrator的信息:
# extended LDIF
#
# LDAPv3
# base <cn=administrator,cn=users,dc=osdn,dc=zzti,dc=edu,dc=cn>; with scope sub
# filter: (objectclass=*)
# requesting: ALL
#

# Administrator, Users, osdn.zzti.edu.cn
dn: CN=Administrator,CN=Users,DC=osdn,DC=zzti,DC=edu,DC=cn
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: Administrator
description:: 566h55CG6K6h566X5py6KOWfnynnmoTlhoXnva7luJDmiLc=
distinguishedName: CN=Administrator,CN=Users,DC=osdn,DC=zzti,DC=edu,DC=cn
instanceType: 4
whenCreated: 20040820145628.0Z
whenChanged: 20040820151744.0Z
uSNCreated: 8194
memberOf: CN=Group Policy Creator Owners,CN=Users,DC=osdn,DC=zzti,DC=edu,DC=cn
memberOf: CN=Domain Admins,CN=Users,DC=osdn,DC=zzti,DC=edu,DC=cn
memberOf: CN=Enterprise Admins,CN=Users,DC=osdn,DC=zzti,DC=edu,DC=cn
memberOf: CN=Schema Admins,CN=Users,DC=osdn,DC=zzti,DC=edu,DC=cn
memberOf: CN=Administrators,CN=Builtin,DC=osdn,DC=zzti,DC=edu,DC=cn
uSNChanged: 13895
name: Administrator
objectGUID:: z44SriNF40SGBgQson8RtA==
userAccountControl: 66048
badPwdCount: 0
codePage: 0
countryCode: 0
badPasswordTime: 127375629853437500
lastLogoff: 0
lastLogon: 127375630164843750
pwdLastSet: 127374851807500000
primaryGroupID: 513
objectSid:: AQUAAAAAAAUVAAAAfA5HVz/NVF7R0u429AEAAA==
adminCount: 1
accountExpires: 9223372036854775807
logonCount: 17
sAMAccountName: Administrator
sAMAccountType: 805306368
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=osdn,DC=zzti,DC=edu,DC
=cn
isCriticalSystemObject: TRUE

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1
大家不妨试试从"dc=domain-suffix"开始搜索.这样可以访问整个的活动目录结构.
可以借此分析一下活动目录的目录结构.然后借鉴到自己的目录中.平时很难找到模仿学习的对象.在下拿活动目录开刀.何乐不为呢?

hxnet88

谢谢gnap，尝试中...........

hxnet88

非常感谢gnap大虾，在尝试中，有以下几个问题，望指点：
1、目录树结构的问题，如何取得目录树结构，如果basedn设置为domain-suffix时，ldapsearch返回的信息现的非常的多，如何能够简单的提取各个目录树结构，比如windows工具访问AD的时候有个tree view功能可以现实各个目录树机构。
2、ldapsearch是不是不支持中文啊，在AD上，我有个中文名的OU，windows的工具能够查找出来，但ldapsearch查找不出来，也是 把basedn设置为domain-suffix的。
3、在设置basedn查看给目录信息的时候，能不能仅仅显示该目录的信息，而不显示他所有子目录的信息。

flyingrat

不知道哪个字段代表password啊，请教了。