[gelöst] LDAP Abfrage des Computerkontos

[chmeyer]

Hallo zusammen,

"normalerweise" frage ich den LDAP-Pfad eines Computers auf einem Windows DC (ADS) mit folgendem Befehl ab:
ldapsearch -LLL -Hldap://WindowsDC -D "$USER@$DOMAIN" -w "$PASSWORD" -b "dc=$DOMAIN,dc=$ORG" "CN=$(hostname)" | grep "dn: CN="

Problem:
Ich möchte nun in einem (systemd) Bootskript - abhängig vom LDAP-Pfad - einige Dinge konfigurieren. Da das Active Directory aber standardmäßig nicht authentifizierte Anfragen ablehnt (und das soll auch so bleiben), müsste ich in das Bootscript einen Benutzernamen samt Passwort eintragen. Das möchte ich natürlich auch nicht. ...

Eigentlich wäre die Sache damit vom Tisch, vielleicht geht ja ein Workaround bei der Benutzeranmeldung mit einem systemd Userscript, denn hier melden sich ja reguläre Domänenbenutzer an. ...

ABER:
Mit "wbinfo --own-domain" bekomme ich immerhin schon die $DOMAIN - und das ganz ohne Benutzernamen.
Auch $ORG kann ich bestimmen mit "wbinfo --domain-info $DOMAIN".

Kennt jemand gibt es eigentlich eine Möglichkeit, den (kompletten) LDAP-Pfad eines Computeraccounts abzufragen, ohne Logindaten eines Benutzers eingeben zu müssen?
Denn eigentlich ist der Computer ja auch ein Domänenbenutzer, der beim "net ads join" mit dem DomainControler bekannt gemacht und mit gültigen Admindaten authentifiziert worden ist. ...

Viele Grüße

Christian

EDIT:
Oh man, bin ich dämlich. $DOMAIN und $ORG stehen ja auch in der smb.conf. Natürlich wird winbind sie daher beziehen. Schade, dann wird es wahrscheinlich nicht gehen.

Falls trotzdem noch jemand eine Idee hat: Bitte immer her damit.

[iconberg]

Leg extra einen Benutzer an der nur Lese-Rechte auf das AD hat.

[rendegast]

ldapsearch ... -D "$USER@$DOMAIN" -w "$PASSWORD" ...

, müsste ich in das Bootscript einen Benutzernamen samt Passwort eintragen.

Vielleicht

Code: Alles auswählen

PASSWORDfile=/root/ldap/$USER@$DOMAIN
ldapsearch ... -D "$USER@$DOMAIN" -y "$PASSWORDfile" ...

[chmeyer]

Danke für die beiden Ideen.

Ja, eigentlich genau das was ich brauche: Ein harmloser read-only-Domänenbenutzer.
Ich hätte es zwar gerne bequemer, aber das passt ja nicht zum verbotenen anonymen Login. Also: Macht Sinn. Danke.

Die Idee mit dem PASSWORDfile verstehe ich aber noch nicht so ganz. Denn damit ist das Passwort zwar raus aus dem Bootskript, aber es ist immer noch lokal gespeichert und kann z.B. mit einem Live-System ausgelesen werden. ...
Klar kann man die Bootreihenfolge im BIOS ändern, aber wenn man die Festplatte ausbaut. ...
Hmm. Eine verschlüsselte Partition könnte dafür eine Lösung sein. - Aber das wollte ich "eigentlich" nicht machen.
Oder habe ich dabei etwas übersehen?

Danke.

[tuxedo]

Hallo

Einerseits automatisch aber ohne was zu speichern beisst sich irgendwie
Was kann $person denn böses mit einem ro ldap Benutzer anstellen?
Würde das System wirklich mal kompromittiert kann immer noch das Passwort auf dem Server geändert werden.

Grüsse

[rendegast]

Die Idee mit dem PASSWORDfile verstehe ich aber noch nicht so ganz. Denn damit ist das Passwort zwar raus aus dem Bootskript, aber es ist immer noch lokal gespeichert und kann z.B. mit einem Live-System ausgelesen werden. ...

Wenn das Ding automatisiert authentifizieren soll,
so muß PW/Key dem System zur Verfügung stehen.
Dasselbe Problem hätte/hat ein verschlüsseltes System.

[chmeyer]

Danke für die Antworten.

Irgendwie hatte ich gehofft, dass sich der "Computer" selbst mit seinem Computerkonto gegen das Active Directory authentifizieren könnte, da er ja bereits Domänenmitglied ist. ...
Okay, ist nicht so.

Es macht Sinn, die Zugangsdaten des ro-Benutzers zu speichern - mit entsprechenden Zugriffsrechten auf die Datei.
Bleibt noch die Frage, ob $Angreifer mit der Struktur oder der Liste der Benutzer etwas anfangen kann. Aber wer so sensible Daten hat, sollte das natürlich auch nicht automatisiert abfragen, stimmt schon.

Also: Danke für die Hilfe beim Denken.