Очередная часть глобального проекта по смене домена в корпорации, по сути переезд из домена ActiveDirectory в домен Samba4.<\/p>\n
Сегодня мы публикуем вспомогательный скрипт, который возвращает SID пользователя используя sAMAccountName. Написан скрипт на php, состоит из двух частей — конфига и самого скрипта. Нам потребуются эти данные для миграции профилей пользователей на локальных машинах., но не будем забегать вперед.<\/p>\n
конфиг вынесен в отдельный файл, т. к. будет использоваться в других утилитах<\/p>\n
config.php<\/b><\/p>\n настроек минимум, указаны старый и новый домен, логины и пароли пользователей у которых есть права читать LDAP атрибуты, по сути рядовые пользователи домена.<\/p>\n Мы будем подключаться к корню одного или другого домена, поэтому озаботьтесь, чтобы ваш DNS разрешал оба домена, т. е. ’old_domain.loc’ и ’new_domain.loc’ должны одновременно пинговаться на нашем сервере.<\/p>\n get_data.php<\/b><\/p>\n функция SIDtoString заимствована из интернета, остальное критикуйте =)<\/p>\n работает следующим образом:<\/p>\n<?php\n define('SOURCE_AD_SERVER', 'old_domain.loc');\n define('SOURCE_AD_USER', 'user_name');\n define('SOURCE_AD_PASSWORD', 'secret_password');\n \n define('TARGET_AD_SERVER', 'new_domain.loc');\n define('TARGET_AD_USER', 'user_name');\n define('TARGET_AD_PASSWORD', 'secret_password');\n?><\/code><\/pre><?php\n\ninclude("config.php");\n\nfunction SIDtoString($ADsid)\n{\n $sid = "S-";\n \/\/$ADguid = $info[0]['objectguid'][0];\n $sidinhex = str_split(bin2hex($ADsid), 2);\n \/\/ Byte 0 = Revision Level\n $sid = $sid.hexdec($sidinhex[0])."-";\n \/\/ Byte 1-7 = 48 Bit Authority\n $sid = $sid.hexdec($sidinhex[6].$sidinhex[5].$sidinhex[4].$sidinhex[3].$sidinhex[2].$sidinhex[1]);\n \/\/ Byte 8 count of sub authorities - Get number of sub-authorities\n $subauths = hexdec($sidinhex[7]);\n \/\/Loop through Sub Authorities\n for($i = 0; $i < $subauths; $i++) {\n $start = 8 + (4 * $i);\n \/\/ X amount of 32Bit (4 Byte) Sub Authorities\n $sid = $sid."-".hexdec($sidinhex[$start+3].$sidinhex[$start+2].$sidinhex[$start+1].$sidinhex[$start]);\n }\n return $sid;\n}\n\nif ((($_REQUEST['action'] == 'get_sid') or ($_REQUEST['action'] == 'get_bin_sid')) and ($_REQUEST['domain'] != '') and ($_REQUEST['samaccountname'] != ''))\n{\n if ($_REQUEST['domain'] == 'new') {\n $ldap_server = TARGET_AD_SERVER;\n $ldap_user = TARGET_AD_USER;\n $ldap_password = TARGET_AD_PASSWORD;\n } elseif ($_REQUEST['domain'] == 'old') {\n $ldap_server = SOURCE_AD_SERVER;\n $ldap_user = SOURCE_AD_USER;\n $ldap_password = SOURCE_AD_PASSWORD;\n }\n $ldapconn = ldap_connect($ldap_server) or die("Could not connect to LDAP server."); \n if($ldapconn) {\n ldap_set_option($ldapconn, LDAP_OPT_PROTOCOL_VERSION, 3) or die ("Could not set ldap protocol");\n ldap_set_option($ldapconn, LDAP_OPT_REFERRALS, 0); \n ldap_set_option($ldapconn, LDAP_OPT_SIZELIMIT, 10000);\n $source_ldapbind = ldap_bind($ldapconn, $ldap_user."@".$ldap_server, $ldap_password) or die ("Error trying to bind: ".ldap_error($ldapconn));\n \n $tree_pieces = explode(".", $ldap_server);\n $ldaptree = "DC=".$tree_pieces[0].",DC=".$tree_pieces[1];\n \n $attributes = array("cn", "samaccountname", "objectsid");\n \n $query = "(samaccountname=".$_REQUEST['samaccountname'].")";\n \n $result = ldap_search($ldapconn,$ldaptree, $query, $attributes) or die ("Error in search query: ".ldap_error($ldapconn));\n\t $data = ldap_get_entries($ldapconn, $result);\n \n for ($i=0; $i<$data["count"]; $i++) {\n if ($_REQUEST['action'] == 'get_sid') {\n echo SIDtoString($data[$i]["objectsid"][0]);\n \/\/echo $i.'. - '.$data[$i]["cn"][0]."<\/br>";\n }\n elseif ($_REQUEST['action'] == 'get_bin_sid') {\n echo wordwrap(bin2hex($data[$i]["objectsid"][0]), 2, ',', true);\n }\n }\n\n ldap_close($ldapconn);\n }\n} else {\n echo 'off';\n}\n?><\/code><\/pre>\n