普段意識せず使っていたのでネタにしようと思ったことすらなかったのですが、なんとなく思いついたので。
■ LDP.exe の導入方法
Windows Server 2008以降(記憶が確かならば)でAD DSの役割を入れると「LDP.exe」というLDAP Search諸々出来るツールも一緒にインストールされます。
AD DC 以外に導入したい場合は機能の追加から
以下の機能を追加することで利用できます。
「リモートサーバー 管理ツール」
→ 「役割管理ツール」
→「AD DS および AD LDSツール」
→ 「AD LDS スナップインおよびコマンドライン ツール」
■ どんな事ができるのか
LDP サーバーへ接続して検索とか、DN書き換えとか結構色々できますが
今回は認証出来るかの確認のみ説明します。
例えば以下の様なときに使えるかも?
・あるアカウントでOSにログインせずに認証できるか確認したい
・気軽にパスワードリセットが出来ないアカウントのパスワード候補っぽい物が複数ありログインを試したい
・あるサーバーにログインできない時にアカウントに問題があるのか、認証経路に問題があるのか切り分けのためAD側で認証確認したい
・リモートのAD DC に接続することもできるので、TCP389(LDAP)での通信が出来るか等の確認に
などなど。
■ LDP.exe でADDCに接続する
入っている環境なら、スタートメニューから「LDP」で検索するか、名前を指定して実行から同じく「LDP」でツールを起動できます。
起動するとこんな感じ。
このツールで出来ることはたくさんあるのですが、今回は特定のアカウントが認証出来るか確認する場合の手順になります。
まずは ドメインコントローラーへ接続します。
メニューの「接続」→「接続」をクリック。
今回はADDC上で起動しているので「localhost」のまま「接続」
接続するとこのようにタイトルバーに 接続したドメイン コントローラーのパスと何やら色々表示されます。
■ 認証できるか確認
メニューの「接続」→「バインド」をクリック。
バインドの種類で「資格情報によるバインド]を選択し以下の項目を入力して「OK」
・ユーザー ID
・パスワード
・ドメイン
・認証が成功した場合
「Authenticated as: ‘xxxx\LDPDemoUSer’.」
というメッセージが表示されます。
・認証が失敗した場合
パスワードを間違えている場合等は
「Error <49>: ldap_bind_s() failed: 資格情報が無効です.」
というようなメッセージが表示されます。
*<(¦3[▓▓]
あるサーバーに対して RDP接続しようとして認証が通らず。
コンソールから直接は問題なし。(実は前回ログインID残ってた
とりあえずLDPで認証してもダメ。
よく見たらアカウントID を一文字間違っていた。
というアホな事件が今さっきありなんとなく書いてみた。
以上ヾ(‘ω’)ノ゛