LDAPサーバでは anonymous 認証が使えるのに、ADではそれが使えない。
これはADの仕様。

この仕様を変更して、ldap同様 anonymous 認証を許可するにはどうすればいいのか?

参照先https://ad.robata.org/ad_setup_anonymoushtml.html
https://support.microsoft.com/ja-jp/help/326690/anonymous-ldap-operations-to-active-directory-are-disabled-on-windows

ADSIエディター

samba/リモートサーバ管理ツールの「ADSIエディター」を管理者権限で開きます。
2019y03m05d_142616174.png
「ADSIエディター」を選択して、右クリックから「接続...」を選びます。
2019y03m05d_143247804.png
表示された「接続の設定」パネルから接続ポイント欄の「既知の名前付けコンテキストを選択する」から「構成」を選び、「OK」ボタンを押下します。
2019y03m05d_143433418.png
ADSIエディター画面に戻り、「構成」が追加されました。
2019y03m05d_143728072.png
そして、この左側のツリーを展開して、「CN=Directory Service」を表示させて、右クリックから「プロパティー」を選択します。
2019y03m05d_145831344.png

「CN=Directory Serviceのプロパティ」画面が表示されます。
2019y03m05d_151241665.png
ここに属性として「dSHeuristics」が存在しない場合、右下の「フィルター」を押下して、「値を持つ属性のみを表示」と「書込み可能な属性のみを表示」の2つを無効にします。
2019y03m05d_151643105.png
そうして表示された属性「dSHeuristics」を選択して、左下の「編集」ボタンを押下します。
2019y03m05d_151826766.png
「文字列の属性エディター」画面が表示され、値を「0000002」として、「OK」ボタンを押下します。
2019y03m05d_151945721.png
「CN=Directory Serviceのプロパティ」画面に戻り、ここで「OK」ボタンを押下します。
残った「ADSIエディター」を閉じます。

Active Directory ユーザーとコンピューター

次に、Active Directory ユーザーとコンピューターを管理者権限で開きます。
まず、「Active Directory ユーザーとコンピューター」画面の表示から「拡張機能」を選択して、「拡張機能」を有効にさせます。
2019y03m05d_152547113.png
次に、左のツリーを展開して、ドメイン直下の「Users」を選択して、その右クリックから「プロパティー」を選択します。
2019y03m05d_152753301.png
表示された「usersのプロパティ」で「セキュリティ」を選択して、「追加..」を押下します。
2019y03m05d_152940150.png
表示された「ユーザー、コンピューター、サービス アカウントまたはグループの選択」画面で、「選択するオブジェクト名を入力してください」欄に「ANONYMOUS LOGON」と入力して「OK」ボタンを押下します。
2019y03m05d_153230777.png
あるいは、「詳細設定..」ボタンを押下して、表示された検索画面で「検索」ボタンを押下して、表示された「ANONYMOUS LOGON」を選択して、「OK」ボタンを押下しても構いません。
同様に「Everyone」も追加します。

これで「usersのプロパティ」画面の「セキュリティ」には「ANONYMOUS LOGON」と「Everyone」が追加されました。
*それぞれのアクセス許可は「読み取り」のみです
2019y03m05d_153743634.png

次に、同じ「Usersのプロパティ」画面の「詳細設定」ボタンを押下します。
表示された「Usersのセキュリティの詳細設定」画面から「ANONYMOUS LOGON」を選択して、「編集...」ボタンを押下します。

2019y03m05d_154315364.png
表示された「Usersのアクセス許可エントリ」画面で、適用先を「このオブジェクトとすべての子オブジェクト」にして「OK」ボタンを押下します。アクセス許可部分は変更しません。
2019y03m05d_154613332.png

Usersのセキュリティの詳細設定」画面に戻り、画面下の「OK」ボタンを押下して閉じます。
ここでの修正対象は「ANONYMOUS LOGON」のみです。

「usersのプロパティ」画面画面に戻ります。「OK」ボタンを押下して閉じます。

確認

ldapsearchを使います。

[illya@c ~]$ ldapsearch -H ldap://c  -x -b 'cn=saber,cn=users,dc=sybyl,dc=local'
# extended LDIF
#
# LDAPv3
# base <cn=saber,cn=users,dc=sybyl,dc=local> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#
 
# saber, Users, sybyl.local
dn: CN=saber,CN=Users,DC=sybyl,DC=local
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: saber
instanceType: 4
whenCreated: 20170504144030.0Z
 :
[illya@c ~]$

と引けました。

一応、下記のようにチケットを破棄しても同じように結果を得ました。

[illya@c ~]$ klist
Ticket cache: FILE:/tmp/krb5cc_1002_mNJC6B
Default principal: illya@SYBYL.LOCAL
 
Valid starting       Expires              Service principal
2019-03-05T15:57:31  2019-03-06T01:57:31  krbtgt/SYBYL.LOCAL@SYBYL.LOCAL
        renew until 2019-03-06T15:57:30
[illya@c ~]$ kdestroy
[illya@c ~]$ klist
klist: No credentials cache found (filename: /tmp/krb5cc_1002_mNJC6B)
[illya@c ~]$

トップ   編集 添付 複製 名前変更     ヘルプ   最終更新のRSS
Last-modified: 2019-03-05 (火) 16:00:57 (80d)