apt-get install php5-ldap

Auch andere Distros sind nicht allzu wild, genaueres dazu findet man zum Beispiel hier.

Das Script selbst war dann auch ganz einfach geschrieben, geplant war es, dieses jeweils mittels Cronjob alle paar Stunden laufen zu lassen, da sich die Benutzerdatenbank ja nicht gerade alle Minuten ändert. Also durchaus angemessen so!

So und hier ist also das Script.

<?php
	// Adresse des Domänencontrollers:
	$ldap_server = "ldap://173.194.35.24";

	// Konto für den Zugriff:
	$auth_user = "sync@domain.local";
	$auth_pass = 'password';

	//Login für MySQL:
	$server = "localhost";
	$user = "sync";
	$pass = "password";
	$db = "users";

	// Mit LDAP Server verbinden:
	if (!($connect=@ldap_connect($ldap_server))) {
		die("Keine Verbindung zum Verzeichnis-Server möglich.");
	}

	// Diese Parameter sind nötig für den Zugriff auf ein Active Directory:
	ldap_set_option($connect, LDAP_OPT_PROTOCOL_VERSION, 3);
	ldap_set_option($connect, LDAP_OPT_REFERRALS, 0);

	// An Server binden:
	if (!($bind=@ldap_bind($connect, $auth_user, $auth_pass))) {
		die("Bind fehlgeschlagen.");
	}

	// BaseDN festlegen:
	$base_dn = "CN=Users,DC=DOMAIN,DC=local";

	// LDAP filter setzen: Nur Kontakt- und Benutzer-Objekte sollen zurückgegeben werden
	$filter = "(|(objectClass=contact)(objectClass=user))";

	// Mit MySQL Server verbinden:
	mysql_connect($server,$user,$pass) or die ("Keine Verbindung mit SQL Server möglich");
	mysql_select_db($db) or die ("Die Datenbank existiert nicht.");

	// Suche starten:
	if (!($search=@ldap_search($connect,$base_dn,$filter))) {
		die("Durchsuchen des LDAP-Servers fehlgeschlagen.");
	}
	$anzahl = ldap_count_entries($connect,$search);

	// Ergebnis der Suche in der Variablen $info ablegen:
	$info = ldap_get_entries($connect, $search);

	// Nur die relevanten Teile des $info-Arrays in ein $ergebnis-Array übernehmen und Umlaute dekodieren:
	for ($i=0; $i		//$ergebnis[$i]["displayname"]    = utf8_decode($info[$i]["displayname"][0]);
		$ergebnis[$i]["cn"] = utf8_decode($info[$i]["cn"][0]);
		$ergebnis[$i]["telephonenumber"] = $info[$i]["telephonenumber"][0];
	}

	// Array alphabetisch sortieren anhand einer Vergleichsfunktion:
	usort($ergebnis, 'vergleich');

	// Datenbank leeren:
	$leeren = mysql_query("TRUNCATE TABLE users") or die("Datenbank konnte nicht geleert werden");

	// Array $ergebnis in einer Tabelle ausgeben:
	for ($i=0; $i
		//Leere Namen ausschliessen:
		if (!empty($ergebnis[$i]["cn"]))
		{
			//Variabeln aufbereiten:
			$name = $ergebnis[$i]["cn"];
			$phone = $ergebnis[$i]["telephonenumber"];

			// Daten in Datebank schreiben:
			$eintrag = "INSERT INTO users (name, phone) VALUES ('$name', '$phone')";

			//Datensätze einfügen:
			$eintragen = mysql_query($eintrag) or die("Datensätze konnten nicht komplett eingefügt werden");
		}
	}

	//Abschliessende Meldung ausgeben:
	echo "Synchronisation done!";

	function vergleich($wert_a, $wert_b)
	{
		// Sortierung nach dem surename
		$a = $wert_a["cn"];
		$b = $wert_b["cn"];
		if ($a == $b) {
			return 0;
		}
			return ($a < $b) ? -1 : +1; 	}
?>

Die Datenbank, in welche geschrieben wird, trägt den Namen “Users” und muss die beiden Spalten “name” und “phone” aufweisen.
Ich hoffe, es hilft irgendwem!

Das könnte dich auch interessieren:

1. Apache mit LDAP durch XAMPP XAMPP ist ja eine ganz einfache Variante, wenn man schnell...

Aus mir zuerst unbekannten Gründen, war es mir nie möglich, einen Standort einzugeben. Ich konnte zwar etwas eintippen, jedoch hat Lync das nicht gespeichert. Mehr zufällig als gewollt, habe ich dann aber entdeckt, dass das Problem nur besteht, solange mein Virenschutz, Kaspersky aktiv ist.

Also habe ich mal alles, von Datei-Anti-Virus, bis Zugriffskontrolle deaktiviert und Eines nach dem Anderen wieder aktiviert, wodurch ich das Problem auf den Web-Anti-Virus eingrenzen konnte. Genau! Auch ich hätte gedacht, es läge an der Firewall, aber manche Wege sind unergründlich…
Also habe ich zuerst einmal in dessen Einstellungen die benötigten Adressen zugefügt:

Ausserdem habe ich Kaspersky klar gemacht, dass ich der Applikation vertrauen möchte, indem ich unter Schutz > Vertrauenswürdige Zonen den Communicator eingetragen habe:

Und siehe da, von da an konnte auch ich meinen Standort teilen:

Also bietet sich ein Lizenzserver an. Dieser wird mit Internetverbindung hochgezogen, KMS aktiviert und von Microsoft validiert und dann in die geschützte Umgebung verschoben. Die Vista Maschinen aktivieren ihren Schlüssel von nun an nur noch über den Lizenzserver. So braucht keine der Maschinen, weder Client noch Server im laufenden Betrieb je wieder eine Internetverbindung.

Installiert ist das ganz einfach. Unter Windows 2003 lädt man sich den Key Management Service 1.1 für Server 2003 passend zur Architektur herunter und installiert diesen.
Danach wird ein Volumekey von Microsoft benötigt für Windows 2003 oder Windows 2008 mit der Option Vista als KMS zu aktivieren. Ist auch dieser aufgetrieben, so kann über das Kommando slmgr die ganze Installation durchgeführt werden. Zuerst wird der Key eingepflegt:

slmgr /ipk xxxxx-xxxxx-xxxxx-xxxxx-xxxxx

Und dann noch bei Microsoft validiert:

slmgr /ato

Sind beide Vorgänge erfolgreich, so kann die Maschine in die geschützte Umgebung verschoben werden. Idealerweise läuft auf der selben Maschine auch gleich noch ein AD / DNS, dann werden auch gleich noch die passenden DNS-Einträge generiert.

Auf allen Vista Maschinen kann nun der folgende Key eingetragen werden:

Windows Vista Business – YFKBB-PQJJV-G996G-VWGXY-2V3X8
Windows Vista Business N – HMBQG-8H2RH-C77VX-27R82-VMQBT
Windows Vista Enterprise – VKK3X-68KWM-X2YGT-QR4M6-4BWMV
Windows Vista Enterprise N – VTC42-BM838-43QHV-84HX6-XJXKV

Dies sind nur Standardkeys, welche dem Lizenzserver zur Erkennung dienen.

Auf dem Lizenzserver wiederrum kann man nun mit slmgr wiederrum sehen, wie viel Requests man schon bekommen hat:

slmgr /dli

Sobald der Count die Zahl 25 erreicht hat, also sobald 25 Maschinen sich aktivieren wollen, werden die Maschinen validiert. Vorher, und fragt mich jetzt ja nicht nach dem Sinn dahinter, gibt der Lizenzserver immer einen Fehler zurück. Wer also weniger als 25 Maschinen hat, der muss noch ein paar Virtuelle Maschinen oder ähnliches dazu aktivieren.

Das könnte dich auch interessieren:

1. Windows session credentials cannot be used to log into this server Ist der ESX-Server ans AD angebunden, so liegt es ja...
2. Syslog Server für ESXi Nach dem ich entdeckt hatte, dass der ESX so intelligent...

Danach muss der folgende Eintrag einkommentiert werden:

;extension=php_ldap.dll

Versucht man danach den Apache zu starten, so wird sich dieser gleich wieder mit einer Fehlermeldung verabschieden. Reklamiert wird, dass die Datei libsasl.dll nicht gefunden werden konnte. Doch ein simples Kopieren kann hier Abhilfe schaffen. So muss die Datei libsasl.dll aus dem Ordner php in den Ordner apache/bin kopiert werden, worauf der Service auch sogleich erfolgreich gestartet werden kann:

Das könnte dich auch interessieren:

1. Mehr Sicherheit durch mod_security Mod_Security ist eine Software Firewall, welche kontrolliert, welche Eingaben auf...
2. Mehr Sicherheit durch OpenVPN Sicherheit wird ein immer wichtigeres Thema in der IT. Klar...

Interessanterweise aber will das Login so nicht funktionieren. Stets wird ein Fehler ausgegeben:

Interessant ist aber die Tatsache, sobald die Domäne ENCODINGIT\compr00t samt Passwort von Hand eingegeben wird, funktioniert das Login problemlos! Naja ganz unbekannt scheint das Problem nicht zu sein, denn in der VMware Knowledgebase konnte ich noch einen Artikel dazu ausgraben.

Dieser schiebt das Problem erst mal auf die IP-Adresse. Es wird beschrieben, das, solange der ESX-Server über die IP anstelle des Namens angesprochen wird, ein Reverse Lookup dafür eingerichtet werden muss. Klingt logisch… oder doch nicht?
Nun ja, also habe ich halt einen PTR eingerichtet, worauf ich die IP-Adresse auch zum Namen auflösen konnte, was mir ein NSLOOKUP bestätigte. Doch das Login wollte immer noch nicht klappen. Auch über den Hostnamen will das ganze nicht klappen, obwohl der A-Record problemlos aufgelöst und gepingt werden kann… Die Fehlermeldung ist neu die folgende:

Besonders amüsiert mich daran die Tatsache, dass die Maschine von welcher aus ich mich einlogge auch dem AD angebunden ist. Also kann mein Benutzername / Passwort gar nicht falsch sein!!

Wie es scheint gibt es neben mir noch genau 3 Andere, welche das gleiche Problem haben und so habe ich auch noch meinen Senf dazu gegeben:

Und nun hoffe auf eine Lösung…

Das könnte dich auch interessieren:

1. Paketquellen für Windows Die Lösung heisst Ninite und gibt es eigentlich schon seit...
2. Windows Updates prüfen mit Nagios Um unserer Server optimal überwachen zu können, habe ich eine...

Jedoch hatte Sharepoint bei mir immer ein kleines Manko. Es ist ja möglich eine Gruppe von Dokumenten wie die öffentlichen oder privaten Dokumente über WebDAV als Freigabe zu mounten. Eine an sich sehr praktische Funktion, so muss ich nicht immer das Webinterface verwenden, wenn das Browsing in der Freigabe nur nicht sooooo unendlich langsam wäre. Bis der Root-Ordner nur geöffnet war, musste ich eine Minute warten, und dann das nochmals für jeden Ordner in der Hierarchie, den ich anklickte. Und es war nicht nur ein Indexieren, wenn ich den ersten Ordner öffnete, das Problem gab es bei jedem Ordner, welchen ich anklickte.
Und da ich meine Ordnerstruktur nicht unbedingt auf eine möglichst flache Struktur abändern wollte, musste eine andere Lösung her. Und ich muss sagen, die Lösung ist für das Ergebnis mehr als simpel.

[google-locker]So werden zuerst die Internetoptionen gestartet, und da geht man unter “Verbindung” auf “LAN-Einstellungen” nun muss man den Punkt “Automatische Suche der Einstellungen” deselektieren und alles speichern.[/google-locker]

Von nun an geht der Zugriff auf Sharepoint statt einer Minute noch eine halbe Sekunde!

Dieses habe ich mit dem Tool tazusb zuerst auf meinen USB Stick kopiert und die Maschine dann von da her gestartet. Da ich nun einen USB Stick anstatt einer CD verwende, musste ich, als mich das System danach fragte, explizit angeben, dass TRK unter sdb1 zu finden sei.

Danach verlief alles problemlos und ich konnte das Passwort leeren, indem ich der einfachen Menüführung folgte und mich danach ohne Passwort auch gleich einloggen Eine super Alternative also zu Offline NT Password & Registry!

Unter Windows 2008 kann man das unattended Script direkt mit dem Wizard machen. Dazu startet man über Start > Ausführen > dcpromo.
Danach kann dem Assistent gefolgt werden und mit den passenden Daten gefüttert werden.
Beim letzten Schritt exportiert man die Einstellungen nun in ein Textfile und bricht danach die Installation im Assistenten ab.

In der soeben erstellten Datei sind nun alle Einstellungen vorhanden für ein unattended Active Directory Setup. Als einziges muss noch das Passwort gesetzt werden unter dem folgenden Punkt:

1

SafeModeAdminPassword = ABCdef123

Nun kann das Setup mit folgendem Befehl gestartet werden:

1

dcpromo /unattend:C:\path\to\answer.txt

Nachdem das Active Directory nun komplett installiert wurde, können die passenden User dazu angelegt werden. Dazu verwende ich der Einfachheit halber die ds-tools dsquery und dsadd.
Natürlich gebe es hier auch die Möglichkeit, ein Script in VBS zu schreiben, was aber länger dauern würde und viel komplizierter würde (Bedenke: keine nicht-system-interne Doku vorhanden).

Die Benutzer mussten nach folgendem Muster angelegt werden:

1
2
3

CEO:  Director1...10
SALE: Saleman1...30
DEV:  Developer1...15

Zuerst fragen wir mit dsquery den passenden Pfad zum AD ab:

1

dsquery user

Da wir diesen nun haben, können wir dsadd verwenden, um eine Benutzer anzulegen:

1

dsadd user "CN=Director1,CN=CEO,DC=blackmesa,DC=org" -samid director1 -upn Director1@domain.local -display Director1 -pwd !blackmesa!

Da auch das klappt, gilt es nun alles in eine FOR-Schlaufe in eine Datei zu packen:

1
2
3

FOR /L %%i IN (1,1,10) DO dsadd user "CN=Director%%i,CN=CEO,DC=blackmesa,DC=org" -samid director%%i -upn Director%%i@domain.local -display Director%%i -pwd !blackmesa!
FOR /L %%i IN (1,1,30) DO dsadd user "CN=Saleman%%i,CN=SALE,DC=blackmesa,DC=org" -samid saleman%%i -upn Saleman%%i@domain.local -display Saleman%%i -pwd !blackmesa!
FOR /L %%i IN (1,1,15) DO dsadd user "CN=Developer%%i,CN=DEV,DC=blackmesa,DC=org" -samid developer%%i -upn Developer%%i@domain.local -display Developer%%i -pwd !blackmesa!

Nun wird jede Zeile einmal ausgeführt, so werden in einem Zuge alle benötigten Benutzer erstellt, wodurch auch diese Teilaufgabe erfolgreich ausgeführt ist!

Zuerst habe ich versucht, dieses Überbleibsel der Windows-Welt direkt in VI selbst zu ersetzen:

1

%s/\^M//g

Dies funktionierte leider nicht, wäre ja auch zu schön gewesen.
VI sucht mit diesem Kommando nach den Zeichen ^ und M. Leider ist der Zeilenumbruch aber nur abgebildet als ^M, nicht aber auch als solches abgespeichert, wodurch VI nie etwas finden wird.

Die Lösung schlussendlich war zwar nicht ganz so komfortabel wie direkt per VI, hat aber ihren Zweck voll und ganz erfüllt:

1

perl -p -e 's/\r$//' < windowsdatei > linuxdatei

Natürlich funktioniert das ganze auch für alle Verräter der Linuxwelt (kein Flame, nur Spass)

1

perl -p -e 's/\n/\r\n/' < linudatei > windowsdatei

Doch nun gibt es handfeste Beweise! Der Programmierer Ruben Unteregger, ehemaliger Angestellter des Schweizer Unternehmen ERA IT Solutions, packt aus.

Für den Trojaner selbst und dessen Entwicklung gilt zwar Geheimhaltungspflicht, doch die Softwarerechte sind immer noch im Besitz von Ruben, weshalb er den Sourcecode auch teilweise unter der GPL veröffentlichen konnte.

Details zu Ruben und seiner Arbeit bei ERA IT Solutions findet man in einem Interview mit ihm, welches durch Gulli zustande kam.

Der Trojaner selbst gibt es in zwei Versionen: Mini- und Megapanzer.

Der Megapanzer wurde nur Stückchenweise veröffentlicht, wogegen der Minipanzer, die abgespeckte Version, voll und ganz verfügbar ist.

Da leider ein Geheimhaltungsvertrag zwischen Ruben und seinem Ex-Arbeitgeber besteht, gibt es nur Spekulationen über den Auftraggeber und leider keine eindeutigen Beweise, dass da wirklich die Regierung mit drinhängt!

Laut Ruben bietet der Trojaner noch keinen Support für Linux, erst für Windows XP. Doch wie lange das wohl noch so bleibt?

Ich finde das ganze sehr beunruhigend, sollte da tatsächlich die Regierung mitmischen! Gleichzeitig habe ich grossen Respekt vor Ruben und vor seiner Arbeit und dem Schritt, den Code öffentlich zu machen.