【Ovirt 笔记】AD 相关的分析与整理
2017-04-20 本文已影响26人
58bc06151329
文前说明
作为码农中的一员,需要不断的学习,我工作之余将一些分析总结和学习笔记写成博客与大家一起交流,也希望采用这种方式记录自己的学习之旅。
本文仅供学习交流使用,侵权必删。
不用于商业目的,转载请注明出处。
分析整理的版本为 Ovirt 3.4.5 版本。
AD域中的默认组整理,是否主要组表示是否可以设置为主要组。
| 组名 | primaryGoupID | 常量名 | 可否主要组 |
|---|---|---|---|
| Domain Admins | 512 | GROUP_RID_ADMINS | √ |
| Domain Users | 513 | GROUP_RID_USERS | √ |
| Domain Guests | 514 | GROUP_RID_GUESTS | √ |
| Domain Computers | 515 | GROUP_RID_COMPUTERS | √ |
| Domain Controllers | 516 | GROUP_RID_CONTROLLERS | √ |
| Schema Admins | 518 | GROUP_RID_SCHEMA_ADMINS | √ |
| Enterprise Admins | 519 | GROUP_RID_ENTERPRISE_ADMINS | √ |
| Group Policy Creator Owners | 520 | GROUP_RID_POLICY_ADMINS | √ |
| Read-only Domain Controllers | 521 | GROUP_RID_READONLY_CONTROLLERS | √ |
| Enterprise Read-only Domain Controllers | 随机(498) | √ | |
| DnsUpdateProxy | 随机(1102) | √ | |
| test | 随机(2715) | √ | |
| usertest | 随机(2720) | √ | |
| Account Operators | × | ||
| Administrators | × | ||
| Allowed RODC Password Replication Group | × | ||
| Backup Operators | × | ||
| Cert Publishers | × | ||
| Certificate Service DCOM Access | × | ||
| Cryptographic Operators | × | ||
| Denied RODC Password Replication Group | × | ||
| Distributed COM Users | × | ||
| DnsAdmins | × | ||
| Event Log Readers | × | ||
| Guests | × | ||
| IIS_IUSRS | × | ||
| Incoming Forest Trust Builders | × | ||
| Network Configuration Operators | × | ||
| Performance Log Users | × | ||
| Performance Monitor Users | × | ||
| Pre-Windows 2000 Compatible Access | × | ||
| Print Operators | × | ||
| RAS and IAS Servers | × | ||
| Remote Desktop Users | × | ||
| Replicator | × | ||
| Server Operators | × | ||
| Terminal Server License Servers | × | ||
| Users | × | ||
| Windows Authorization Access Group | × |
注意:系统中只支持次要组用户的组权限划分,通过组权限划分,组内用户都可以直接登录系统。系统默认将用户分配到 Domain Users 组中,这个组默认是主要组,因此该组中的用户无法直接通过组权限登录系统。
打开 Active Directory 用户和计算机,在“查看”菜单上,选中“高级功能”,可以打开属性编辑器,可以看到 AD 用户与组的所有属性值。
AD用户常用属性列表:
| 编号 | 属性名称 | 含义 | 备注 |
|---|---|---|---|
| 常规 | |||
| 1 | sn | 姓 | 李 |
| 2 | givenName | 名字 | 四 |
| 3 | initials | 英文首字母 | LS |
| 4 | description | 描述 | 描述信息 |
| 5 | displayName | 显示名称 | 李四 |
| 6 | telephoneNumber | 电话号码 | |
| 7 | 电子邮件 | ||
| 8 | wwwHomePage | 网页 | |
| 9 | info | 注释 | |
| 地址 | |||
| 1 | c | 国家/地区缩写 | CN |
| 2 | co | 国家/地区 | 中国 |
| 3 | countryCode | 国家代码 | |
| 4 | st | 省/自治区 | 四川 |
| 5 | l | 市/县 | 成都 |
| 6 | streetAddress | 街道 | XX路 |
| 7 | postOfficeBox | 邮政信箱 | 44号信箱 |
| 8 | postalCode | 邮政编码 | 610000 |
| 账户 | |||
| 1 | userPrincipalName | 用户登录名 | |
| 2 | sAMAccountName | 用户登录名(windows 2000以前) | |
| 3 | logonHours | 登录时间 | |
| 4 | logonCount | 登录数 | |
| 5 | userAccountControl | 用户登录控制 | 启用(512)、禁用(514)、密码永不过期(66048) |
| 6 | accountExpires | 账户过期 | 从不 |
| 7 | badPasswordTime | 错误密码时间 | |
| 8 | badPwdCount | 错误密码次数 | |
| 电话 | |||
| 1 | homePhone | 家庭电话 | |
| 2 | paper | 寻呼机号码 | |
| 3 | mobile | 移动电话号码 | |
| 4 | facsimileTelephoneNumber | 传真号码 | |
| 5 | ipPhone | IP电话 | |
| 组织 | |||
| 1 | company | 公司 | |
| 2 | department | 部门 | |
| 3 | title | 职务 | |
| 4 | manager | 经理 | |
| 隶属 | |||
| 1 | memberOf | 隶属于组(次要组CN),多个用分号隔开 | |
| 2 | primaryGoupID | 隶属主要组ID,只能唯一 | 与上表一致 |
| 3 | ou | 组织名称 | |
| 4 | dc | AD域名 | dc=sdcad,dc=com |
| 5 | cn | 地址标签(默认与名字相同) |
LADP 操作 AD ,提供了两个接口
-
一个是 389 非密接口,只能完成 AD 查询,AD 用户登录和添加用户查询时,都会调用该接口。该功能会将证书信息存储到
domain对象中的baseCN属性中,该步骤通过GetRootDSETask类实现。GetRootDSE类中实现了 AD 域的查询操作。 -
一个是 636 加密接口,该功能完成AD用户创建。调用该接口之前会查询
baseCN是否为空,如果为空则创建失败(意味着必须先进行查询,才能进行创建)。该操作在LdapCreateAdUserTask类中实现。
管理门户创建用户,组织标签对应的是 ou 属性,不是 memberOf 。这里可以将用户添加到 AD 服务器上创建的组织里面。管理门户目前只能创建一级组织下的用户。
登录查询时,是根据返回 memberof 判断是否具备组权限(次要组)的。
