跳转到主内容

Exciting new changes are coming to the Knowledge Base site soon!
Starting April 4, 2023, you will notice Support-Specific categorization and improvements to the search filters on the site. In May, we will be launching a new and enhanced Site UI and Navigation. To know more, read our Knowledge Article.

为什么 Cloud Secure 活动取证中的用户帐户显示为 LDAP : domain.com:s-X-X-XX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXX?

Views:
Visibility:
Public
Votes:
0
Category:
cloud-insights
Specialty:
cloud
Last Updated:

适用场景

  • Cloud Insights ( CI )
  • Cloud Secure ( CS )

问题解答

即使正确配置了用户目录收集器以解析给定域的用户, Cloud Secure 中的用户配置文件或活动取证条目仍可能无法解析用户。这些条目可能会显示一个类似于 LDAP : domain.com:s-X-X-XX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXX 的名称或用户名。

这是因为应用程序根据以下查询提取域用户:

"(&(objectCategory=person)(objectClass=user))"

如果 LDAP 实体的对象类别不等于 " 人员 " ,则应用程序将不会提取此对象,随后也不会解析此对象。要检查某个条目的 objectCategory" 值,请通过 SSH 连接到代理并在 LDAP 服务器上查询用户。

示例:
ldapsearch -o ldif-wrap=no -LLL -x -b "DC=domain,DC=com" -h ldap.domain.com -p 389 -D "CN=bindAccount,OU=Accounts,DC=domain,DC=com" -W "ObjectSID=s-X-X-XX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXX"

此操作将提示输入绑定帐户密码,然后返回指定对象 SID 的实体数据。查找 objectCategory" 值以查看它是否为 "person" 。如果不是,则用户目录收集器将不会提取它。

追加信息

对于计算机和服务帐户, LDAP 实体的对象类别不等于 " 人员 " ,因此这些 SID 将无法解析。

 

Scan to view the article on your device