手当たり次第に書くんだ

飽きっぽいのは本能

Windows Server 2019 Active Directory の LDAP を確認する

Active Directory の情報は全て内部の LDAP が保持しており、この LDAP は Microsoft 独自の実装(スキーマ)はあるものの、基本的には Linux で構築する LDAP サーバーと同じように扱うことができます。つまり、ldapmodify コマンドなどで編集が可能です。もちろん、この操作がサポートされているかは Microsoft に依存するため、注意が必要ではあります。

Active Directory 上からの確認

Active Directory では ldifde コマンドを使用することで、LDAP で取得した情報をファイルにエクスポートして確認します。残念ながら ldapsearch コマンドのように標準出力はできません。

PS C:\Users\Administrator> ldifde -f export.ldf
"ad01.si1230.com" に接続しています
SSPI を使って現在のユーザーとしてログインしています
ディレクトリをファイル export.ldf にエクスポートしています
エントリを検索しています...
エントリを書き出しています.................................................................................................................................................................................................................................................
241 個のエントリがエクスポートされました

コマンドが正しく完了しました

export.ldf 内の Administratorの DN は下記のようになっています。この通り単なる LDIF ですが、パスワード等の一部の属性はセキュリティ観点で出力はされないようです。例えば別の LDAP と連携する際に正しい DN を確認する際には便利だと思います。

dn: CN=Administrator,CN=Users,DC=si1230,DC=com
changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: Administrator
description:: 
 44Kz44Oz44OU44Ol44O844K/44O8L+ODieODoeOCpOODs+OBrueuoeeQhueUqCAo44OT44Or44OI44
 Kk44OzIOOCouOCq+OCpuODs+ODiCk=
distinguishedName: CN=Administrator,CN=Users,DC=si1230,DC=com
instanceType: 4
whenCreated: 20210517080136.0Z
whenChanged: 20210701045235.0Z
uSNCreated: 8196
memberOf: CN=Group Policy Creator Owners,CN=Users,DC=si1230,DC=com
memberOf: CN=Domain Admins,CN=Users,DC=si1230,DC=com
memberOf: CN=Enterprise Admins,CN=Users,DC=si1230,DC=com
memberOf: CN=Schema Admins,CN=Users,DC=si1230,DC=com
memberOf: CN=Administrators,CN=Builtin,DC=si1230,DC=com
uSNChanged: 16397
name: Administrator
objectGUID:: Og45uyKVfUOjoocRHiH0xA==
userAccountControl: 66048
badPwdCount: 0
codePage: 0
countryCode: 0
badPasswordTime: 132695887517887537
lastLogoff: 0
lastLogon: 132696640817465463
pwdLastSet: 132657107406088798
primaryGroupID: 513
objectSid:: AQUAAAAAAAUVAAAAql6LqbcnVHuq3HY79AEAAA==
adminCount: 1
accountExpires: 9223372036854775807
logonCount: 5
sAMAccountName: Administrator
sAMAccountType: 805306368
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=si1230,DC=com
isCriticalSystemObject: TRUE
dSCorePropagationData: 20210517081803.0Z
dSCorePropagationData: 20210517081803.0Z
dSCorePropagationData: 20210517080252.0Z
dSCorePropagationData: 16010101181216.0Z
lastLogonTimestamp: 132695887558971789

ユーザー情報だけをエクスポートする場合は -r オプションで objectCategory=user を指定します。objectCategory とは、ldifde コマンド上では objectClass の意味のようです。

PS C:\Users\Administrator> ldifde -u -f export_user.ldf -r objectCategory=user

LDAPS の接続性を確認するは ldp.exe を実行します。ldp.exe はコマンドプロンプトから実行します。

外部の LDAP クライアントからの確認

下記のように ldapsearch コマンドで接続が可能です。事前に証明書関連設定を /etc/openldap/ldap.conf に設定しておきましょう。

[root@centos ~]# ldapsearch -H ldaps://ad01.si1230.com -D CN=Administrator,CN=Users,DC=si1230,DC=com -W -b dc=si1230,dc=com
Windows Server 2019 Active Directory の LDAP を確認する

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

トップへ戻る