0

尝试使用以下 ldap 查询。

ldap_query = "(&(objectCategory=Person)(objectClass=user)(member:1.2.840.113556.1.4.1941:=CN=xx,CN=Users,DC=aa,DC=ss,DC=com))"
ldap_query = "(member:1.2.840.113556.1.4.1941:=CN=xx,CN=Users,DC=aa,DC=ss,DC=com)"

代码如下。

for hostname in <<domain.domain_controllers>>:
    tls = ldap3.Tls(validate=ssl.CERT_NONE, version=ssl.PROTOCOL_TLS)
    server = ldap3.Server(hostname, get_info=ldap3.ALL, mode=ldap3.IP_V4_PREFERRED, tls=tls, use_ssl=True)
    with ldap3.Connection(server=server, authentication=ldap3.NTLM, auto_bind=True, password=xx, read_only=True, receive_timeout=30,user=yy) as ldap_connection:
        search_parameters = {'search_base': 'DC=aa,DC=ss,DC=com', 'search_filter': ldap_query, 'attributes': ['*']}
        ldap_connection.search(**search_parameters)
        print(ldap_connection.entries)

它只是为所有 DC 打印 [],但用户有组和子组,如手动检查。

4

1 回答 1

1

我假设这CN=xx,CN=Users,DC=aa,DC=ss,DC=com是一个用户对象,并且您正在尝试查找将该用户作为成员的组。我对么?

第一个查询不起作用,因为它正在搜索具有该属性集的用户。member用户没有member属性。

CN=xx第二个查询将返回作为成员的任何对象。唯一具有member属性的对象是组,但您可以进一步将其限制为仅组,这可能会提高查询的性能(因为objectClass已编入索引):

ldap_query = "(&(objectClass=group)(member:1.2.840.113556.1.4.1941:=CN=xx,CN=Users,DC=aa,DC=ss,DC=com))"

无需对每个 DC 进行相同的查询。他们都会给你同样的信息。如果您没有获得此查询的任何结果,则可能有以下几个原因:

  1. 您的连接详细信息有问题。尝试进行一些您知道应该像这样工作的其他查询(objectClass=user)(这将返回所有用户对象)并查看是否得到结果。
  2. distinguishedName您使用的是不正确的。验证它是否正确。您可以尝试像这样搜索它:(distinguishedName=CN=xx,CN=Users,DC=aa,DC=ss,DC=com)看看是否有结果。
  3. 如果您的 AD 林有多个域,则您看到的组可能位于另一个域中。除非您正在查询全局目录 (GC),否则您不会在其他域上找到组。
于 2020-01-31T13:34:09.353 回答