Cliente OpenLDAP para consultar el directorio activo

El proyecto OpenLDAP nos provee un cliente LDAP que podemos usar para consultar y modificar nuestros directorios LDAP. El problema nos puede aparecer cuando intentamos consultar un directorio activo: Este requiere SSL para poder conectar y a menudo el certificado está autofirmado. Lo primero será obtener el certificado raíz de la CA que firma el certificado de la comunicación LDAPS. Esto lo podremos hacer como cuento en la entrada anterior, y guardarlo en el fichero /etc/openldap/cacerts/CA/miDirectorioActivo.crt.
Luego crear un fichero de configuración de cliente, /etc/openldap/miDirectorioActivo.conf, personalizado que podría tener siguiente contenido:

# See ldap.conf(5) for details
# This file should be world readable but not world writable.


SIZELIMIT      500
URI            ldaps://IP_DOMAIN_CONTROLLER/
BASE           DC=miAD,DC=local

TLS_CACERT     /etc/openldap/cacerts/CA/miDirectorioActivo.crt
TLS_CACERTDIR  /etc/openldap/cacerts/CA

Para que nuestro cliente use esta configuración, ejecutaremos:
export LDAPCONF=/etc/openldap/miDirectorioActivo.conf

...y ya podremos lanzar consultas contra nuestro directorio activo, desde los comandos del cliente OpenLDAP:
ldapsearch -x  -H ldaps://IP_DOMAIN_CONTROLLER \
          -D  "CN=AdminLDAP,DC=miAD,DC=local" \
          -w  contraseña \
          -b  "DC=miAD,DC=local"

Esto también nos funcionará para consultar NDS.

Publicado por Ignacio Barrancos en sábado, junio 19, 2010

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)