BASH脚本 - AD中有用户移动OU时,OpenLDAP的同步方法

最新推荐文章于 2024-08-15 17:25:26 发布
最新推荐文章于 2024-08-15 17:25:26 发布
阅读量520 收藏
点赞数
分类专栏: Bash脚本 文章标签: bash openldap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shion0305/article/details/114880221
版权
本文介绍了一款用于同步Active Directory中用户组织结构调整至OpenLDAP的Bash脚本。该脚本通过读取AD中的组织单位(OU)及用户信息,并将其与前一日的数据对比,来自动更新OpenLDAP中的用户OU。
摘要由CSDN通过智能技术生成

用途:当AD中有用户移动了组织结构时,可以使用此脚本进行同步

#!/bin/bash
# 预定义参数
AD_DOMAIN="<Your AD's domain>"
AD_ADMIN_DN="CN=<Admin account name>,OU=XXX,OU=XXX,DC=XXX,DC=XXX,DC=XXX"
AD_ADMIN_PWD="<Your admin password>"
AD_BASE_DN="DC=XXX,DC=XXX,DC=XXX"
LDAP_DOMAIN="<Your OpenLDAP's domain>"
LDAP_ADMIN_DN="cn=Manager,dc=XXX,dc=XXX,dc=XXX"
LDAP_ADMIN_PWD="<Your admin password>"
LDAP_BASE_DN=${AD_BASE_DN}
DN_TAG1="^dn:.+$"
DN_TAG2="^ .*$"
SAMACCOUNTNAME_TAG="^sAMAccountName: .+$"
COMMENT_TAG="#.+$"
WHITELINE_TAG="\n\s*\r"
LINE_NUM=0
LAST_LINE_NUM=0
DN_VALUE=""
LOGFILE="/root/OpenLdapShell/OpenLdapUserChangeLog.log"

echo "" > /root/OpenLdapShell/TodayADUser.ldif
echo "" > /root/OpenLdapShell/Tmp_TodayADUser.ldif

# 获取AD上的OU并保存成ldif格式
/usr/bin/ldapsearch -x -H ldaps://${AD_DOMAIN}:636 "(&(objectClass=top)(objectClass=organizationalUnit))" dn objectClass ou -D "${AD_ADMIN_DN}" -w "${AD_ADMIN_PWD}" -b "${AD_BASE_DN}" -L > /root/OpenLdapShell/Tmp_ldapgroup.ldif

# 导入OU
/usr/bin/ldapadd -x -c -w "${LDAP_ADMIN_PWD}" -D "${LDAP_ADMIN_DN}" -f /root/OpenLdapShell/Tmp_ldapgroup.ldif  > /dev/null 2>&1

# 把所有的OU都查出来,为一会导入用户做准备
/usr/bin/ldapsearch -x -H ldaps://${AD_DOMAIN}:636 "(&(objectClass=top)(objectClass=organizationalUnit))" dn -D "${AD_ADMIN_DN}" -w "${LDAP_ADMIN_PWD}" -b "${AD_BASE_DN}" -L |php /root/OpenLdapShell/utf8ldif.php > /root/OpenLdapShell/Tmp_ldapgroup_utf8.ldif

# 整理一下LDAP OU的文件,把version,注释之类的都去掉,只留OU的路径:
/usr/bin/sed -i "/^#/d" /root/OpenLdapShell/Tmp_ldapgroup_utf8.ldif
/usr/bin/sed -i "/^version/d" /root/OpenLdapShell/Tmp_ldapgroup_utf8.ldif
/usr/bin/sed -i "/^[[:space:]]*$/d" /root/OpenLdapShell/Tmp_ldapgroup_utf8.ldif
/usr/bin/sed -i "s/^dn: //g" /root/OpenLdapShell/Tmp_ldapgroup_utf8.ldif

# 开始循环读取OU,一行就是一个OU
while read OU_LINE
do
    # 把所有用户都查出来保存在Tmp_TodayADUser.ldif里面
    /usr/bin/ldapsearch -x -H ldaps://${AD_DOMAIN} "(&(objectClass=organizationalPerson)(!(objectClass=computer)))" dn sAMAccountName -D "${AD_ADMIN_DN}" -w "${LDAP_ADMIN_PWD}" -b "${OU_LINE}" -L | php /root/OpenLdapShell/utf8ldif.php >> /root/OpenLdapShell/Tmp_TodayADUser.ldif
done</root/OpenLdapShell/Tmp_ldapgroup_utf8.ldif

/usr/bin/cp -rp /root/OpenLdapShell/Tmp_TodayADUser.ldif /root/OpenLdapShell/TodayADUser.ldif

# 和昨天查出来的ldif比对,如果DN不一样的就修改用户所在OU
while read LINE
do
    if [[ "${LINE}" =~ ${DN_TAG1} ]];then
        grep -w "${LINE}" /root/OpenLdapShell/YesterdayADUser.ldif > /dev/null 2>&1
        if [ $? -ne 0 ];then
            DN_TMP1=${LINE}
            DN_TMP2=${DN_TMP1##*:}
            DN_TMP3=${DN_TMP2/ /}
            DN_HEAD=${DN_TMP3:0:3}
            DN_VALUE=$DN_TMP3
            OU_VALUE=${DN_VALUE#*,}
            CN_VALUE=${DN_VALUE%%,*}
        fi
    fi
    if [ "${DN_VALUE}" != "" ];then
        if [[ "${LINE}" =~ ${SAMACCOUNTNAME_TAG} ]];then
            UID_TMP1=${LINE}
            UID_TMP2=${UID_TMP1##*:}
            UID_VALUE=${UID_TMP2/ /}
            /usr/bin/ldapsearch -x -H ldaps://${LDAP_DOMAIN} "(&(objectClass=inetOrgPerson)(uid=${UID_VALUE}))" dn uid -D "${LDAP_ADMIN_DN}" -w "${LDAP_ADMIN_PWD}" -b "${LDAP_BASE_DN}" -L >> /root/OpenLdapShell/Tmp_LdapModifyUser.ldif
            /usr/bin/sed -i "/^uid: ${UID_VALUE}/a\newsuperior: ${OU_VALUE}" /root/OpenLdapShell/Tmp_LdapModifyUser.ldif
            /usr/bin/sed -i "s/^uid: ${UID_VALUE}/newrdn: ${CN_VALUE}/" /root/OpenLdapShell/Tmp_LdapModifyUser.ldif
            echo "[$(date '+%Y-%m-%d %H:%M:%S')] OpenLdap Server Change User OU, UID: ${UID_VALUE}, The new DN: ${DN_VALUE}." >> ${LOGFILE}
  
            DN_VALUE=""
            OU_VALUE=""
            CN_VALUE=""
        fi
    fi
done</root/OpenLdapShell/TodayADUser.ldif

# 更新一下ldif文件的各种属性,准备导入
/usr/bin/sed -i "/^newrdn: /i\changetype: modrdn" /root/OpenLdapShell/Tmp_LdapModifyUser.ldif
/usr/bin/sed -i "/^newrdn: /a\deleteoldrdn: 0" /root/OpenLdapShell/Tmp_LdapModifyUser.ldif

# 更新OPENLDAP用户信息
/usr/bin/ldapmodify -c -x -w "${LDAP_ADMIN_PWD}" -D "${LDAP_ADMIN_DN}" -f /root/OpenLdapShell/Tmp_LdapModifyUser.ldif > /dev/null 2>&1

# 删除临时文件
/usr/bin/rm -rf /root/OpenLdapShell/YesterdayADUser.ldif
# 把今天的用户文件保存成YesterdayADUser.ldif供明天使用
/usr/bin/cp -rp /root/OpenLdapShell/TodayADUser.ldif /root/OpenLdapShell/YesterdayADUser.ldif
/usr/bin/rm -rf /root/OpenLdapShell/Tmp*
/usr/bin/rm -rf /root/OpenLdapShell/TodayADUser.ldif
[root@ldapproxy OpenLdapShell]#
星又の學長
关注
专栏目录
ldap 389同步ad上的用户_在Kubernetes上使用Openldap做集认证
weixin_42310231的博客
12-25 530
LDAP是Lightweight Directory Access Protocol的缩写,提供LDAP服务的软件有很多商业上获得成功的,其以MS的AD和Redhat的NDS(Netscape directory server)使用最为广泛,而开源领域则是OpenLdap了,为了集成认证后面需要的gitlab,jenkins,nexus,harbor等,因此我们在准备在kubernet...
OpenLDAP+freeradius+samba+802.1x实现无线和有线网络认证+动态vlan下发——openLDAP
小李的csdn
12-26 5835
文章目录一、环境准备(一)LDAP环境搭建 一、环境准备 1.服务器信息 名称 系统版本 配置 ip地址 ldap-master CentOS 7.6(core) 2c 2g 50g 192.168.3.130 ldap-slave CentOS 7.6(core) 2c 2g 50g 192.168.3.131 redius-master CentOS 7.6(core)...
BASH脚本 - OpenLDAP同步AD用户(新增)
黑神瞬的博客
03-16 1983
用途:当AD中有新增用户,可以使用此脚本进行同步 #!/bin/bash # 预定义参数 AD_DOMAIN="<Your AD's domain>" AD_ADMIN_DN="CN=<Admin account name>,OU=XXX,OU=XXX,DC=XXX,DC=XXX,DC=XXX" AD_ADMIN_PWD="<Your admin password>" AD_BASE_DN="DC=XXX,DC=XXX,DC=XXX" LDAP_DOMAIN="&lt
实现OpenLDAP使用AD认证(OpenLDAP部署已忽略)
最新发布
fangyingquano的专栏
08-15 967
OpenLDAP作为一种开源的目录服务解决方案,与Windows Active Directory(AD)作为微软提供的目录服务系统,各自在特定场景下展现出优势。当前情况显示,部分应用场景(如应用集成、客户端配置)与OpenLDAP的集成更为顺畅,而另一些场景则严格依赖于AD的功能。因此,完全放弃其任一系统均非明智之举,但这同也带来了双重维护的挑战——不仅工作量显著增加,还涉及信息的分散管理、同步复杂性提升及错误率的潜在上升。简单认证服务层的守护进程,该进程要安装在openldap服务器上。
Openldap 整合windows AD认证
weixin_34064653的博客
06-05 1924
Openldap 整合windows AD认证 I.解决的问题 Openldap是开源的目录服务实现,windows AD是微软的目录服务现实。现状是有的场景(应用、客户端)跟openldap结合比较容易,有的场景又是必须要用AD,所以几乎不可能弃用其的任意一种。但同维护两套系统意味着维护工作大量增加(不仅仅只是增加一倍,要考虑信息分别维护、同步etc等)、出错几率增加。 其的一种较成熟、使...
Bash openldap同步AD组织数据
罗伯特是疯子丶
11-16 1887
openldap同步AD组织的数据,性能相对高一点
AD-把禁用的AD用户移动到指定OU
weixin_34236497的博客
03-30 644
使用 Search-ADAccount -AccountDisabled 命令,即可搜索出禁用的AD帐户 Search-ADAccount -AccountDisabled -SearchBase 最好指定一下范围,要不连Guest这种系统帐户也给移动了 [PS] D:\>Search-ADAccount -AccountDisabled -SearchBase "OU=xxxx,DC=...
Importar_Usuarios_AD_Zimbra:如何将用户AD导入到ZIMBRA
04-20
这是从AD到zimbra的用户配置的一个很小的方法。 问题在于它仅验证密码,并且电子邮件是手动创建的。 我发现的方式是: 使用ldapseach连接到我的基地,并带上搜索当天创建的用户,并通过Zimbra CLI创建它们: 第一...
ldap安装
askme_的博客
04-14 937
1.ldap服务器安装 [root@ldap ldap]# vim /etc/hosts #本地解析域名 1.1.1.13 willow.com 安装LDAP相关软件:openldapopenldap-servers、openldap-clients [root@ldap ~]# yum install -y openldap* [root@ldap ~]# cp /usr/s...
SVN+Apache+AD验证
sammy
07-11 4876
今日收到上司邮件,下一步公司要做整合,估计以后公司所有环境都需要整改,对我这个菜鸟来说感觉压力好大,因为初次接触linux system。 但我一直都在努力。。。。。come on 下一步我们会更改那些登录命名带有@ecvision.com的,我们目前所做的动作是为了将来用AD登录做准备。   所以你搭好一个AD的环境,自己测试一下登录有无问题,   AD目前需要做的地方: 1.
Kali Linux密码同步机制:多设备与账户的一致性管理
!...# 1.... Kali Linux作为一个专业的渗透...在信息安全日益受到重视的今天,密码同步机制作为身份验证和权限控制的核心组件,对于维护系统安全性起着至关重要的作用。密码同步机制能够确保用户在多个系统或服务间拥有相同
ldap 连接 AD
05-20
ldapAD之间的连接的示例源代码。挺不错的。
多个OU下批量创建AD账户并加入群组的脚本及模板
11-08
多个OU下批量创建AD账户并加入群组的脚本及模板。。。
深信服连接openldap_深信服AC结合第三方服务器AD域认证
weixin_36341500的博客
01-12 3446
目录深信服AC结合第三方服务器AD域认证 1一、第三方域认证设置 11.设置外部认证服务器 12.域用户认证设置 23.用户认证 3二、集成windows身份验证 31.启用集成windows 身份验证功能 32.配置windows身份验证 33.修改认证策略 3三、共享上网管理 3深信服AC结合第三方服务器AD域认证1.深信服AC和域之间同步认证;2.启用window...
linux ldap同步微软ad,linux – Active Directory和OpenLDAP同步
weixin_33217004的博客
05-14 861
我为一个项目做了一次 – 祝你好运!您是否具有AD服务器的管理权限?你可能需要它.与你的AD管理员交朋友:-)你能详细说明一下你的项目是什么吗?问题是,您是否只需要您的用户/应用程序对ActiveDirectory或LDAP进行身份验证,或者如果您需要应用程序访问存储在ActiveDirectory的数据,并且可能会增加或修改条目..如果您只需要进行身份验证,那么正如Justin所指出的那样,A...
AD所有的计算机账户移动到指定OU
Young的博客
09-06 5414
怎么通过一条命令把AD所有的Computer移动到指定OU
ad同步其他ldap账号_搭建一套完整的LDAP体系
weixin_28692867的博客
12-21 3288
搭建一套生产可以用的openldap1、搭建OpenLDAP 1、安装Openldap 基本环境 1.1、安装LDAP 1.2、初始配置 2、安装phpldapadmin 3、openldap安全 3.1、关闭匿名访问 3.2、启用TLS证书 3.3、其他安全2、搭建自助密码修改...
linux ldap同步微软ad,==LDAP如何与Windows域整合==
weixin_35763513的博客
05-14 697
==LDAP如何与Windows域整合==(2012-01-10 07:30:22)标签:windows如何杂谈==LDAP如何与Windows域整合==LDAP如何与Windows域整合呢?Windows端用户都是在域里面,用户打开IE浏览器,就必须输入域账户和密码,LDAP想实现认证功能,请问这个怎么做呢?[ 本帖最后由 奋斗的毛毛虫 于 2007-12-28 08:48 编辑 ]原帖由 奋斗...
精通Bash脚本:《高级Bash-Scripting Guide》解析
"《Advanced Bash-Scripting Guide》是一本专为高级Bash脚本编程设计的详尽指南,适合所有级别的用户,无论新手还是经验丰富的程序员。这本书深入讲解了Bash shell的语法、技巧、调试方法,以及如何通过实例逐步掌握...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值