Windows Server 2019 Active DirectoryのLDAPを確認する

Active Directoryの情報は全て内部のLDAPが保持しており、このLDAPはMicrosoft独自の実装はあるものの、基本的にはLinuxで構築するLDAPサーバーと同じです。

この為、一般的なLDAPクライアントから接続が可能です。

Active Directory上からの確認

Active Directoryではldifdeコマンドを使用します。ldifdeコマンドは、ldapsearchのように標準出力ではできず、ファイルにエクスポートして確認となるようです。

PS C:\Users\Administrator> ldifde -f export.ldf
"ad01.si1230.com" に接続しています
SSPI を使って現在のユーザーとしてログインしています
ディレクトリをファイル export.ldf にエクスポートしています
エントリを検索しています...
エントリを書き出しています.................................................................................................................................................................................................................................................
241 個のエントリがエクスポートされました

コマンドが正しく完了しました

export.ldf内のAdministratorのDNは下記のようになっています。この通り単なるLDIFですが、パスワード等の一部の属性はセキュリティ観点で出力はされないようです。例えば別のLDAPと連携する際に正しいDNを確認する際には便利だと思います。

dn: CN=Administrator,CN=Users,DC=si1230,DC=com
changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: Administrator
description:: 
 44Kz44Oz44OU44Ol44O844K/44O8L+ODieODoeOCpOODs+OBrueuoeeQhueUqCAo44OT44Or44OI44
 Kk44OzIOOCouOCq+OCpuODs+ODiCk=
distinguishedName: CN=Administrator,CN=Users,DC=si1230,DC=com
instanceType: 4
whenCreated: 20210517080136.0Z
whenChanged: 20210701045235.0Z
uSNCreated: 8196
memberOf: CN=Group Policy Creator Owners,CN=Users,DC=si1230,DC=com
memberOf: CN=Domain Admins,CN=Users,DC=si1230,DC=com
memberOf: CN=Enterprise Admins,CN=Users,DC=si1230,DC=com
memberOf: CN=Schema Admins,CN=Users,DC=si1230,DC=com
memberOf: CN=Administrators,CN=Builtin,DC=si1230,DC=com
uSNChanged: 16397
name: Administrator
objectGUID:: Og45uyKVfUOjoocRHiH0xA==
userAccountControl: 66048
badPwdCount: 0
codePage: 0
countryCode: 0
badPasswordTime: 132695887517887537
lastLogoff: 0
lastLogon: 132696640817465463
pwdLastSet: 132657107406088798
primaryGroupID: 513
objectSid:: AQUAAAAAAAUVAAAAql6LqbcnVHuq3HY79AEAAA==
adminCount: 1
accountExpires: 9223372036854775807
logonCount: 5
sAMAccountName: Administrator
sAMAccountType: 805306368
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=si1230,DC=com
isCriticalSystemObject: TRUE
dSCorePropagationData: 20210517081803.0Z
dSCorePropagationData: 20210517081803.0Z
dSCorePropagationData: 20210517080252.0Z
dSCorePropagationData: 16010101181216.0Z
lastLogonTimestamp: 132695887558971789

ユーザー情報だけをエクスポートする場合は-rオプションでobjectCategory=userを指定するようです。objectCategoryとは、ldifdeコマンド上ではobjectClassの意味のようです。

PS C:\Users\Administrator> ldifde -u -f export_user.ldf -r objectCategory=user

LDAPSの接続性を確認するはldp.exeを実行します。ldp.exeはコマンドプロンプトから実行します。

外部のLDAPクライアントからの確認

下記のようにldapsearchで接続が可能です。事前に証明書関連設定を/etc/openldap/ldap.confに設定しておきましょう。

[root@centos ~]# ldapsearch -H ldaps://ad01.si1230.com -D CN=Administrator,CN=Users,DC=si1230,DC=com -W -b dc=si1230,dc=com