Я нахожусь в положении, когда я работаю с очень простой аутентификацией AD. По сути, пока я могу выполнить привязку с некоторыми учетными данными, я считаю, что пользователь аутентифицирован с помощью AD, и все готово. Сложность в том, что у меня нет доступа к серверу AD и я очень мало знаю об AD в целом. Поэтому я не могу ответить на свой простой вопрос, и мое требование довольно странное.
Мне нужно разрешить пользователю войти в систему вручную, (введя имя пользователя и пароль)для другого входа в AD через LDAP, чем тот, который в настоящее время входит в систему, как в Windows через Chrome браузер. Таким образом, они «аутентифицированы» через NTLM, но теперь они могут войти в систему как кто-то другой. Да, странно, но это требование.
Из начального процесса NTLM между браузером и Node.js я получаю URL-адрес AD и 3/4 атрибута, которые, думаю, мне нужны. Я получаю 3 DC
атрибута, которые соответствуют моим ожиданиям, но я не получаю CN
, который в моем случае равен CN=Users
. В основном это выглядит примерно так
CN=Users,DC=ABC1,DC=ABC2,DC=ABC3
Но из исходного NTLM я нигде не получаю CN=Users
.
Итак, к моему вопросу! В AD папка, содержащая пользователей, всегда называется Users
? Или я немного облажался, так как не могу получить это окончательное значение CN
из начального процесса NTLM. Может быть, есть еще одно сообщение NTLM, которое я могу отправить, чтобы получить дополнительную информацию?
Спасибо.
Нет, Users
— это просто контейнер. Пользователи и другие объекты могут храниться в организационных единицах (OU). Как в документацииговорится:
OU предоставляют администраторам средства для группирования ресурсов, таких как учетные записи пользователей или учетные записи компьютеров, чтобы этими ресурсами можно было управлять как единым целым. Это значительно упрощает применение групповой политики к нескольким компьютерам или управление доступом многих пользователей к одному ресурсу. Подразделения также упрощают делегирование контроля над ресурсами различным администраторам.
Строка, о которой вы говорите, представляет собой отличительное имя (DN) (пример: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM
)
Однако я не понимаю, почему вы хотите получить DN для пользователя при входе в систему? Вы должны иметь возможность войти в систему с помощью UPN (основного имени пользователя), например: (скрыто)