LDAP Daten Auslesen und weiter Verarbeiten (Allgemeines zu Perl)

[thread]20498[/thread]

LDAP Daten Auslesen und weiter Verarbeiten

Tags: perl5 Ähnliche Threads

Leser: 15

Articles: hide open all | hide show old branches

+25 replies

Rambo

2018-08-08 09:02

User since
2003-08-14
803 Artikel
BenutzerIn

user image

Guten Morgen werte Foren Gemeinde,

nach langer Foren Abstinenz benötige ich wieder ein wenig Hilfe von euch.
Wir müssen im Unternehmen die Infos von extern Firmen und MA dahingehen untersuchen wann der Zugang abläuft (account expired) und den entsprechenden Vorgesetzen (manager) informieren damit er eine Verlängerung beantragen kann.
Das Script was die entsprechenden Daten ausliest habe ich bereits. Die Frage ist, wie verarbeite ich diese Daten weiter.
Folgenes sind meine Überlegungen:
Auslesen der Entsprechenden Daten die hierfür Notwendig sind:

Code: (dl )

samACC = Login ID
name = Vorname Nachname
mail = Mail Adresse
expired = Ablaufdatum des Zuganges
manager = Vorgesetzter der eine Verlängerung beantragen muss

Diese Daten müssen ausgewertet werden und um sie später 30 Tage vor dem Ablaudatum via Mail zu versenden.

Problemstellung 1: Wie verarbeite ich die entsprechenden Daten (Array oder Hash)
Bsp:

Code: (dl )

1
2
3

samACC   name            mail                    expired      Manager
AB001    John JD Doh     John.Doh@mail.com       Nie
BA001    Max MM Muster   max.muster@firma.de     30.09.2018   CN=John.Doh

In diesem Fall soll eine Mail am 01.09.2018 an John.Doh@mail.com gehen das der Zugang des Benutzer Max Muster zum 30.09.2018 ausläuft.

Wie kann ich das am Sinnvollsten lösen?
Das Scipt was die Daten ausliest ist hier:

Code: (dl )

#!/usr/bin/perl -w
#
#
# ------------------------------------------------------------------
# Loaded Modules
# ------------------------------------------------------------------
use strict;
use warnings;
use Net::LDAP;
use Net::LDAP;

# ------------------------------------------------------------------
# ldap parameters
# ------------------------------------------------------------------
my $ldap_srv = 'server';
my $ldap_usr = 'CN=bibi blox,OU=User,OU=xxx,OU=yy,DC=foo,DC=com';
my $ldap_pwd = 'ist geheim;
my $ldap_base_dir = 'dc=foo,dc=com';

# ------------------------------------------------------------------
# connect to ldap
# ------------------------------------------------------------------ 
my $ldap = Net::LDAP->new( $ldap_srv ) or die "$@";
my $mesg = $ldap->bind( $ldap_usr,
                        password => $ldap_pwd
                       );

# ------------------------------------------------------------------
# search LDAP database
# ------------------------------------------------------------------ 
$mesg = $ldap->search(  base=>$ldap_base_dir,
			filter => "(&(objectclass=*)(sn=*))");
			#filter=>"(name=*)",
my @Acc_Data = '';
my @entries = $mesg->entries;
print	"UserID\tUser Name\tBeschreibung\tGruppen\tLetzter Login\tLast_PWD_Set\tEmail\tPhone\tAccount expired\tLocal Manager\n";
foreach my $entry (@entries) {
	my $samACC     = $entry->get_value('samAccountName');
	my $name       = $entry->get_value('name');
	my $descr      = $entry->get_value('description');
	my $memberof   = join ", ", $entry->get_value('memberof');
	my $lastLogon  = readable_wintime($entry->get_value('lastLogonTimestamp'));
	my $pwdLastSet = readable_wintime($entry->get_value('pwdLastSet'));
	my $mail       = $entry->get_value('mail');
	my $phone      = $entry->get_value('telephoneNumber');
	my $expired    = readable_date($entry->get_value('accountExpires'));
	my $manager    = $entry->get_value('manager');
	print	"$samACC\t$name\t$descr\t$memberof\t$lastLogon\t$pwdLastSet\t$mail\t$phone\t$expired\t$manager\n";

	
}

# ------------------------------------------------------------------
# disconnect from ldap
# ------------------------------------------------------------------ 
$mesg = $ldap->unbind;   # take down session
 
# ------------------------------------------------------------------
# convert none readable date/time format to readable format
# ------------------------------------------------------------------  
sub readable_wintime {
    my $wintime = shift;
    my $unix_epoch = win_to_unix_epoch($wintime);
    my ($year, $month, $day, $hour, $minute, $second) = (localtime $unix_epoch)[5,4,3,2,1,0];
    $year  += 1900;
    $month += 1;
    ($month, $day, $hour, $minute, $second) = map { sprintf '%02d', $_ } $month, $day, $hour, $minute, $second;
    my $LastLogin = join('.', $day, $month, $year) . ' ' . join(':', $hour, $minute, $second);
}

sub readable_date {
    my $wintime = shift;
    my $unix_epoch = win_to_unix_epoch($wintime);
    my ($year, $month, $day,) = (localtime $unix_epoch)[5,4,3,2,1,0];
    $year  += 1900;
    $month += 1;
    ($month, $day) = map { sprintf '%02d', $_ } $month, $day;
    my $LastLogin = join('.', $day, $month, $year);
}

sub win_to_unix_epoch {
    # Actually hundreths of nanoseconds at this point...
    my $nanoseconds = shift;
    # Get seconds
    my $seconds = $nanoseconds / 10_000_000;
    # This magic number is the difference between Unix and Windows epoch.
    my $unix_epoch = $seconds - 11644473600;
    # Return the Unix epoch for use with localtime().
    return $unix_epoch;
}

Für ein paar Anregungen wäre ich sehr dankbar

Muffi

2018-08-08 09:18

User since
2012-07-18
1465 Artikel
BenutzerIn

Warum willst du eine zusätzliche Datenstruktur aufbaun?
Dieses $entry sieht doch schon sehr handlich aus.
1 + 1 = 10
+23 replies

rosti

2018-08-08 16:08

User since
2011-03-19
3472 Artikel
BenutzerIn

Wie Deine Directory aussieht weiß ich nicht, aber schau mal ob es einen DN Eintrag gibt (distinguished name).

Einen Solchen nämlich kannst Du, weil er eindeutig ist, als Schlüssel in einem Hash verwenden und damit hättest Du alle weiteren Attribute je DN namentlich adressierbar.

Zum Berechnen von Datumsdifferenzen gibts auf CPAN entsprechende Module.

MfG

+22 replies

Rambo

2018-08-09 09:57

User since
2003-08-14
803 Artikel
BenutzerIn

user image

Hallo zusammen,
besten Dank für die Anregungen. Ich habe das Script jetzt fast kompl. fertig.
Einziges Problem was ich noch habe ist eine Möglichkeit der Datumsberchnung.
Das Script müsste, so wie ich es jetzt geschrieben habe, täglich laufen damit es mit der Datumsberechnung funktioniert. Ich suche nach einer Lösung die es ermöglicht, dass man alles kleiner 30 Tage herausfindet und dann entsprechend die Infos Verschickt.
Hier das Script:

Code: (dl )

# ------------------------------------------------------------------
# Loaded Modules
# ------------------------------------------------------------------
use strict;
use warnings;
use Net::LDAP;
use Net::LDAP;
use Date::Manip;
use Email::Simple ();
use Email::Sender::Simple qw(sendmail);
use Email::Sender::Transport::SMTP ();
use Email::Simple::Creator ();

# ------------------------------------------------------------------
# smtp parameters
# ------------------------------------------------------------------
my $smtpserver = 'server';
my $smtpport = 25;
my $transport = Email::Sender::Transport::SMTP->new({
  host => $smtpserver,
  port => $smtpport,
});
my $sender_adr = "rumpel.stilzchen\@blablub.com";

# ------------------------------------------------------------------
# ldap parameters
# ------------------------------------------------------------------
my $ldap_srv = 'PDC';
my $ldap_usr = 'CN=bal.blub,OU=User,DC=foo,DC=com';
my $ldap_pwd = 'na so eins';
my $ldap_base_dir = 'dc=foo,dc=com';

# ------------------------------------------------------------------
# connect to ldap
# ------------------------------------------------------------------ 
my $ldap = Net::LDAP->new( $ldap_srv ) or die "$@";
my $mesg = $ldap->bind( $ldap_usr,
                        password => $ldap_pwd
                       );

# ------------------------------------------------------------------
# search LDAP database
# ------------------------------------------------------------------ 
$mesg = $ldap->search(  base=>$ldap_base_dir,
			filter => "(&(objectclass=*)(sn=*))");
			#filter=>"(name=*)",
my @entries = $mesg->entries;

foreach my $entry (@entries) {
	my $samACC     = $entry->get_value('samAccountName');
	my $name       = $entry->get_value('name');
	my $descr      = $entry->get_value('description');
	my $mail       = $entry->get_value('mail');
	my $expired    = readable_date($entry->get_value('accountExpires'));
	my $manager    = $entry->get_value('manager');
	&check_data($samACC, $name, $mail, $expired, $manager, $descr);
}

# ------------------------------------------------------------------
# Process data
# ------------------------------------------------------------------ 
sub check_data{
		my $date = ParseDate("today");
		my $newdate = DateCalc(ParseDate($_[3]), ParseDateDelta('- 2 days'));
		
		if ($newdate eq $date) {
		foreach my $contact ($_[4]){
			my $email  = Email::Simple->create(
			   header  => [
			   To      => $_[2],
			   From    => $sender_adr,
			   Subject => 'Konto Abgelaufen - Bitte Verlängern',
				      ],
			   body    => "Sehr geehrte Damen und Herren\n Der Zugang fue Account $_[1] $_[5] laeuft am $_[3] ab\n",
			);
		sendmail($email, { transport => $transport });
              }
	}
   	else {
   	print "Alles OK";
        }
}

# ------------------------------------------------------------------
# disconnect from ldap
# ------------------------------------------------------------------ 
$mesg = $ldap->unbind;   # take down session
 
# ------------------------------------------------------------------
# convert none readable date/time format to readable format
# ------------------------------------------------------------------  
sub readable_date {
    my $wintime = shift;
    my $unix_epoch = win_to_unix_epoch($wintime);
    my ($year, $month, $day,) = (localtime $unix_epoch)[5,4,3,2,1,0];
    $year  += 1900;
    $month += 1;
    ($month, $day) = map { sprintf '%02d', $_ } $month, $day;
    my $LastLogin = join('-', $year, $month, $day);
}

sub win_to_unix_epoch {
    # Actually hundreths of nanoseconds at this point...
    my $nanoseconds = shift;
    # Get seconds
    my $seconds = $nanoseconds / 10_000_000;
    # This magic number is the difference between Unix and Windows epoch.
    my $unix_epoch = $seconds - 11644473600;
    # Return the Unix epoch for use with localtime().
    return $unix_epoch;

Sollte es noch Verbesserungsvorschläge geben, dann nur zu.

Besten Dank im Voraus

+21 replies

Muffi

2018-08-09 11:24

User since
2012-07-18
1465 Artikel
BenutzerIn
[default_avatar]

Als kleiner Tipp:
Ein readable Date kommt erst bei der Ausgabe.
Alles innerhalb des Profgramms und Berechnungen ist ein Date, mit dem man arbeiten kann. Ob das für Menschen gut lesbar ist oder nicht ist irrelevant.

Such dir ein Datumsmodul deiner Wahl auf CPAN und benutz das, damit kann man mit Datumsen rechnen.

1 + 1 = 10

+20 replies

Rambo

2018-08-09 13:24

User since
2003-08-14
803 Artikel
BenutzerIn

user image

Ich habe leider noch ein anderes Problem:
User X hat eine Mail Adresse und einen zugewiesenen Manager
Der Manager hat auch ein Mail Adr.
Diese Daten stehen alle in @entries drin.
Aber wie komme ich, wenn User X das Konto abläuft an die Mail Adr. seines Managers dran?
Habt ihr hier eint Tipp für mich?

Merci und VG R.

+18 replies

Muffi

2018-08-09 13:30

User since
2012-07-18
1465 Artikel
BenutzerIn
[default_avatar]

Wo ist genau das Problem?
Oder warum tut das nicht ein grep über die @entries?

1 + 1 = 10

+17 replies

Rambo

2018-08-09 14:13

User since
2003-08-14
803 Artikel
BenutzerIn

user image

2018-08-09T11:30:14 Muffi
Wo ist genau das Problem?
Oder warum tut das nicht ein grep über die @entries?

Grep klingt gut aber wie müßte ich das innerhalb eines Perl Scriptes machen?
Könntest Du mir bitte hierzu ein Bsp. geben?

+16 replies

Muffi

2018-08-09 14:20

User since
2012-07-18
1465 Artikel
BenutzerIn
[default_avatar]

So in etwa?
Aber so wirklich versteh ich glaub ich das Problem och nicht.

Code (perl): (dl )

sub get_user_by_mail {
  my ($entries, $mail) = @_;
  my @user = grep { $_->get_value('mail') eq $mail } @$entries;
  return $user[0];
}

my $Manager = get_user_by_mail(\@entries, $Manager_mail);

1 + 1 = 10

+15 replies

Rambo

2018-08-09 15:06

User since
2003-08-14
803 Artikel
BenutzerIn

user image

2018-08-09T12:20:38 Muffi
So in etwa?
Aber so wirklich versteh ich glaub ich das Problem och nicht.

Ich versuche es noch mal anders darzustellen.
Im AD sind alle User vorhanden egal ob externe Mitarbeiter oder interne (Manager).
Alle User haben auch eine Mails Adresse hinterlegt
Alle externen haben zusätzlich, für den Genehmigungsprozess, auch einen für Sie zugehörigen Manager hinterlegt.
Der Manager ist als Name hinterlegt und nicht mit der Mail Adresse.

Mein Scipt fragt alle Daten im AD ab egal ob intern oder externe MA.
Wenn jetzt der Account abläut, bekommt der Manager eine Mail mit dem hinweis auf Verlängerung.
Ich komme zwar ohne weiteres innerhalb meiner "sub check_data" an den Namen des Managers ran aber ich weis nicht wie ich zusätzlich an dessen Mail Adresse heran komme.

Ich benötige also in der "sub check_data" die folgenden Daten:
$samACC = Account Name des externen (habe ich)
$descr = description (habe ich)
$expired = accountExpires (habe ich)
$manager = manager (habe ich)
$mail = die des Managers (habe ich NICHT)

Ist das etwas verständlicher?

Was Dein Code angeht, hier muss ich schauen ob ich es schaffe diesen umzusetzen.
Besten Dank schon mal

Rambo

2018-08-09 15:18
User since
2003-08-14
803 Artikel
BenutzerIn
Nachtrag:
Unter linux wäre dies bespw. so:
Code: (dl )

1 2

user@W10-RH-001:~/find$ grep "bodo" t1.txt bodo bach bode.bach@mail.com
t1.txt wäre das Array @entries und bodo ist der Manager dessen Email ich suche.
+13 replies

thomas38

2018-08-09 22:06

User since
2012-11-04
30 Artikel
BenutzerIn
[default_avatar]

Hallo Rambo,

entscheidend ist also, die E-Mail-Adresse des Managers herauszufinden.

Ich beziehe mich auf die Beispieldaten oben:

Code: (dl )

1
2
3

samACC   name            mail                    expired      Manager
AB001    John JD Doh     John.Doh@mail.com       Nie
BA001    Max MM Muster   max.muster@firma.de     30.09.2018   CN=John.Doh

Der Manager von Max MM Muster ist also "CN=John.Doh".
Bei "CN=" vermute ich stark, dass es identisch mit dem Active Directory - Attribut "CN" ist.
Wenn dem so ist, kannst Du wie folgt die E-Mail-Adressen aller Einträge (und somit auch der Manager) ermitteln, bevor das Expiredate geprüft wird:

Code (perl): (dl )

# VORSICHT: Diese Code ist nicht getestet
# ... nach dem search:
my %email_by_cn;
foreach my $entry (@entries) {
 my $cn     = $entry->get_value('cn');
 my $mail   = $entry->get_value('mail'); 
 $cn=lc($cn);  # in kleinbuchstaben wandeln - falls sich das mal unterscheidet
 $email_by_cn{$cn}=$mail;
}

Wenn Du später die E-Mail-Adresse des Managers "CN=John.Doh" wissen möchtest, kannst Du diese mit

Code (perl): (dl )

# VORSICHT: Diese Code ist nicht getestet
# ...
$manager=lc($entry->get_value('manager'));
$manager =~ s/^CN=//i; # "CN=" am Anfang entfernen
$manager=lc($manager); # ebenfalls in kleinbuchstaben wandeln

my $email_adresse_des_managers=$email_by_cn{$manager};

ermitteln.

Das setzt natürlich voraus, dass die Werte im Active Directory peinlich genau gepflegt werden. Ein Tippfehler oder gar eine Namensänderung und schon kann die dazugehörige E-Mail-Adresse nicht mehr gefunden werden.
Last edited: 2018-08-09 22:42:36 +0200 (CEST)

+12 replies

rosti

2018-08-10 07:47

User since
2011-03-19
3472 Artikel
BenutzerIn

CN heißt Common Name und im Gegensatz zum DN (Distinguished Name) ist ein CN nicht eindeutig.

MfG

+11 replies

thomas38

2018-08-10 11:13

User since
2012-11-04
30 Artikel
BenutzerIn
[default_avatar]

Ja, das ist korrekt: der CN ist nicht eindeutig.

Da der Vorgesetzte im Attribut "manager" so hinterlegt wird, ist es die einzige Möglichkeit, ihn zu ermitteln.

Daran kann "Rambo" aber nichts ändern und war auch nicht "Rambos" Aufgabe. Das müssen die Personen sicherstellen, die das Active Directory pflegen.

+10 replies

Rambo

2018-08-10 12:50

User since
2003-08-14
803 Artikel
BenutzerIn

user image

Hallo zusammen,

besten Dank für eure hinweise und Anmerkungen.
Die AD wird kompl. von mir verwaltet.
Hier eine Info dazu:
Alle User Objekte haben im AD einen Reiter Organisation und dort gibt es ein Feld Manager. Der Name der dort hinterlegt werden kann, ist nichts was man manuel eintragen kann sondern ein Verweis auf ein im AD hinterlegtes Objekt. In dem Falle ein User (Manager).
Diese Daten sind also eindeutig!

Ich bin derzeit noch am schauen wie ich die Info von Thomas38 im Script mit einbaue bzw. wie sie funktioniert.

Habt alle besten Dank schon mal für eure Hilfen!
VG R.

+9 replies

thomas38

2018-08-10 14:21

User since
2012-11-04
30 Artikel
BenutzerIn
[default_avatar]

Im Attribute "manager" wird somit das Benutzerobjekt gespeichert ...

Dann steht in "manager" somit der DN (=distinguished name).
In Deinen Beispieldaten stand nur "CN=John.Doh". Für den DN ist das nicht komplett. Der DN könnte so aussehen: "CN=John.Doh,OU=managers,dc=example,dc=com"

Aktualisierter Vorschlag:
Statt "CN" wird der DN gelesen und dessen E-Mail-Adresse gespeichert:

Code (perl): (dl )

# VORSICHT: Dieser Code ist nicht getestet
# ... nach dem search:
#
# E-Mail-Adressen aller Benutzer im Hash %email_by_dn speichern:
#
my %email_by_dn;
foreach my $entry (@entries) {
 my $dn     = $entry->dn();  # Hinweis: der DN wird nicht mit get_value ermittelt
 my $mail   = $entry->get_value('mail'); 
 $email_by_dn{$dn}=$mail;
}

Wenn Du später die E-Mail-Adresse des jeweiligen Managers wissen möchtest, kannst Du diese mit

Code (perl): (dl )

# VORSICHT: Dieser Code ist nicht getestet
# ...
$manager=$entry->get_value('manager');
my $email_adresse_des_managers=$email_by_dn{$manager};

herausfinden.

+8 replies

Rambo

2018-08-13 09:26

User since
2003-08-14
803 Artikel
BenutzerIn

user image

Guten Morgen zusammen,
sorry für meine späte Antwort. Besten Dank @thomas38 für Deinen Code.

Ich habe den Code in mein Script integriert und habe hier leider ein kleines Problem, es wird komischer weise nicht immer die Email Adresse des Managers mit herausgesucht und ich finde einfach nicht heraus warum.
Der "Manager" wird jedesmal als Objekt ausgelesen, aber nur in ca. 50% der fälle wird auch die dazugehörige Email Adresse mit heraus gesucht.
In meinem Test habe ich für 7 User mich als Manager eingetragen und es wird 4x auch meine Email Adresse mir heraus gesucht.

Hier der Test Code ohne Verbindungsauf und abbau:

Code: (dl )

# ------------------------------------------------------------------
# search LDAP database
# ------------------------------------------------------------------ 
$mesg = $ldap->search(  base=>$ldap_base_dir,
			filter => "(&(objectclass=*)(sn=*))");
			#filter=>"(name=*)",
my @entries = $mesg->entries;

my %email_by_dn;
foreach my $entry (@entries) {
        my $samACC     = $entry->get_value('samAccountName');
	my $name       = $entry->get_value('name');
	my $descr      = $entry->get_value('description');
	my $mail       = $entry->get_value('mail');
	my $expired    = readable_date($entry->get_value('accountExpires'));
	my $dn         = $entry->dn();
	my $manager    = $entry->get_value('manager');
        $email_by_dn{$dn}=$mail;
	my $mgmt_mail = $email_by_dn{$manager};
	print "rh email = $mgmt_mail\n";
	$mgmt_mail);
}

Die 7 User wurden alle via PS Script in die AD eingetragen und weisen bis auf unterschiedlich Namen / SamAcc Name keine unterschiede auf.
Überprüt habe ich das mit dem ADSI.

Habt ihr eine Idee wo ich hier noch ansetzen kann?
Besten Dank im Voraus
VG R.

+7 replies

rosti

2018-08-13 10:01

User since
2011-03-19
3472 Artikel
BenutzerIn

Was liefert denn die dn() Methode?

MfG

+6 replies

Rambo

2018-08-13 10:21

User since
2003-08-14
803 Artikel
BenutzerIn

user image

2018-08-13T08:01:26 rosti
Was liefert denn die dn() Methode?

MfG

DN liefert für jeden User Infos wie bspw. diese hier:

Code: (dl )

1
2
3

CN=U0test3 TT. Test User,OU=User,OU=DE,DC=foo,DC=com
CN=John JD. Doh,OU=User,OU=DE,DC=foo,DC=com
usw.

+5 replies

rosti

2018-08-13 10:38

User since
2011-03-19
3472 Artikel
BenutzerIn

Ich hatte eigentlich einen Dump erwartet, arbeitest Du nicht mit Data::Dumper? Wenn ich mich an meine großen Zeiten mit LDAP erinnere war Data::Dumper ein außerordentlich hilfreiches Werkzeug.

MfG

+4 replies

Rambo

2018-08-13 11:13

User since
2003-08-14
803 Artikel
BenutzerIn

user image

Nein bis dato habe ich nicht mit Dumper gearbeitet aber habe es schnell eingebaut, laaerdings ist die Ausgabe auch nicht anders:
Ausgabe für alle mit der M

Code: (dl )

$VAR1 = 'CN=Mar MM. Mar,OU=User,OU=DE,foo,DC=com      R.H@gmx.de
$VAR1 = 'CN=Mic MG. Gros,OU=User,OU=DE,DC=foo,DC=com       R.H@gmx.de
$VAR1 = 'CN=Mix MR. Red,OU=User,OU=DE,DC=foo,DC=com     R.H@gmx.de
$VAR1 = 'CN=U0test3 TT. Test User,OU=User,OU=DE,DC=foo,DC=com R.H@gmx.de
$VAR1 = 'CN=Jue JH. Har,OU=User,OU=DE,DC=foo,DC=com
$VAR1 = 'CN=Sve SE. Eve,OU=User,OU=DE,DC=foo,DC=com
$VAR1 = 'CN=End EE. Eki,OU=User,OU=DE,DC=foo,DC=com

die letzte 3 hätten eigentlich auch die Mail Adr. R.H@gmx. drin stehen haben müssen.

Damper habe ich für die folgeden Werte ausgeben:

Code: (dl )

print Dumper "$dn\t$mgmt_mail\n";

Merci in Voraus
VG R.

+3 replies

thomas38

2018-08-14 21:48

User since
2012-11-04
30 Artikel
BenutzerIn
[default_avatar]

Hallo Rambo,

die E-Mail-Adressen _aller_ Benutzer müssen zuerst komplett ermittelt werden.
Deshalb der Hash '%email_by_dn', der in der ersten foreach-Schleife komplett befüllt wird.
In der 2. foreach-Schleife werden daraus nur die Werte gelesen.

Code (perl): (dl )

# ------------------------------------------------------------------
# search LDAP database
# ------------------------------------------------------------------
$mesg = $ldap->search(  base=>$ldap_base_dir,
      filter => '(userAccountControl:1.2.840.113556.1.4.803:=512)'; # nur Benutzer
      #Liefert _alle_Einträge des AD:                        filter => "(&(objectclass=*)(sn=*))");
                        #filter=>"(name=*)",
#
# Hier fehlt noch die Fehlerbehandlung, falls $ldap->search fehlschlägt
#

#
# Vermutlich fehlt noch das "bind" ...
#

my @entries = $mesg->entries;

# 1. Schritt: Die E-Mail-Adressen _aller_ Benutzer ermitteln
# Die E-Mail-Adressen werden im Hash '%email_by_dn' gespeichert:
# z.B.: $email_by_dn{"DN=cn=Karl..."}='Karl.Koffer@example.com'
my %email_by_dn;
foreach my $entry (@entries) {
 my $dn     = $entry->dn();  # Hinweis: der DN wird nicht mit get_value ermittelt
 my $mail   = $entry->get_value('mail');
 $email_by_dn{$dn}=$mail;
}

# 2. Schritt: Alle Benutzer prüfen
# und dabei die E-Mail des Managers ermitteln
foreach my $entry (@entries) {
  my $samACC     = $entry->get_value('samAccountName');
        my $name       = $entry->get_value('name');
        my $descr      = $entry->get_value('description');
        my $mail       = $entry->get_value('mail');
        my $expired    = readable_date($entry->get_value('accountExpires'));
        my $dn         = $entry->dn();
        my $manager    = $entry->get_value('manager');
        my $mgmt_mail = $email_by_dn{$manager};
        print "USER='$samACC' Manager-mail='$mgmt_mail'\n";
}

+2 replies

Rambo

2018-08-15 15:07

User since
2003-08-14
803 Artikel
BenutzerIn

user image

2018-08-14T19:48:40 thomas38
Hallo Rambo,

die E-Mail-Adressen _aller_ Benutzer müssen zuerst komplett ermittelt werden.
Deshalb der Hash '%email_by_dn', der in der ersten foreach-Schleife komplett befüllt wird.
In der 2. foreach-Schleife werden daraus nur die Werte gelesen.

Salue Thomas38,
ich verstehe nicht wirklich warum man 2 Durchläufe benötgit um die Email Adr. heraus zu bekommen. Er hat ja in meinen Versuchen ca. 50% der Infos ausgespuckt :-)
Aber wie dem auch sei, ich habe den Code entsprechend deinen Infos angepasst und bekomme nun für alle User die es betrifft die entspechenden Infos.

Hab ganz herzlichen Dank für Deine Hilfe und sorry falls ich etwas nervend war mit meinen Fragen.

Hier nun der neue (vorerst) entgültige Code inkl. Mail versand, evtl. benötigt jemand soetwas mal:

Code: (dl )

# ------------------------------------------------------------------
# Loaded Modules
# ------------------------------------------------------------------
use strict;
use warnings;
#no warnings 'uninitialized';
use Net::LDAP;
use Net::LDAP;
use Date::Manip;
use Email::Simple ();
use Email::Sender::Simple qw(sendmail);
use Email::Sender::Transport::SMTP ();
use Email::Simple::Creator ();

# ------------------------------------------------------------------
# smtp parameters
# ------------------------------------------------------------------
my $smtpserver = 'smtp-srv';
my $smtpport = 25;
my $transport = Email::Sender::Transport::SMTP->new({
  host => $smtpserver,
  port => $smtpport,
});

# ------------------------------------------------------------------
# Email send from Adress
# ------------------------------------------------------------------
my $sender_adr = "bodo.bachlein\@foobar.com";

# ------------------------------------------------------------------
# ldap parameters
# ------------------------------------------------------------------
my $ldap_srv = 'server';
my $ldap_usr = 'CN=manager,OU=User,OU=DE,DC=foo,DC=com';
my $ldap_pwd = 'ist geheim';
my $ldap_base_dir = 'dc=foo,dc=com';

# ------------------------------------------------------------------
# connect to ldap
# ------------------------------------------------------------------ 
my $ldap = Net::LDAP->new( $ldap_srv ) or die "$@";
my $mesg = $ldap->bind( $ldap_usr,
                        password => $ldap_pwd
			); die $mesg->error if $mesg->code;
                      
# ------------------------------------------------------------------
# search LDAP database
# ------------------------------------------------------------------ 
$mesg = $ldap->search(  base=>$ldap_base_dir,
	      		filter => '(userAccountControl:1.2.840.113556.1.4.803:=512)'); # nur Benutzer
	$mesg->code && die $mesg->error;
			
my @entries = $mesg->entries;
my %email_by_dn;

foreach my $entry (@entries) {
	my $dn     = $entry->dn();  # Hinweis: der DN wird nicht mit get_value ermittelt
	my $mail   = $entry->get_value('mail');
	$email_by_dn{$dn}=$mail;
}
foreach my $entry (@entries) {
	my $samACC     = $entry->get_value('samAccountName');
	my $name       = $entry->get_value('name');
	my $descr      = $entry->get_value('description');
	my $mail       = $entry->get_value('mail');
	my $expired    = readable_date($entry->get_value('accountExpires'));
	my $dn         = $entry->dn();
	my $manager    = $entry->get_value('manager');
	my $mgmt_mail = $email_by_dn{$manager};
       	&check_data($samACC, $name, $mail, $expired, $manager, $descr, $mgmt_mail);
}

# ------------------------------------------------------------------
# Process data and send Email
# ------------------------------------------------------------------ 
sub check_data{
		my $date = ParseDate("today");
		my $newdate = DateCalc(ParseDate($_[3]), ParseDateDelta('- 2 days'));
		if ($newdate eq $date) {
		foreach my $contact ($_[4]){
			my $email  = Email::Simple->create(
			   header  => [
			   To      => $_[6],
			   From    => $sender_adr,
			   Subject => 'Benutzer Konto läuft ab - Bitte Verlängern',
				      ],
			   body    => "
Sehr geehrte Damen und Herren,

das folgende Benutzerkonto läuft zum $_[3] ab:
User ID: $_[0]
Vorname / Name: $_[1]
Description: $_[5]
Sofern dieser Zugang weiterhin benötigt wird, ist diese bitte mittels Auftrag zu verlängern.

DB Richtlinie zur Verlängerung von Benutzer Konten:
Benutzer Konten für externe Mitarbeiter und Fremdfirmen haben eine Gültigkeit von maximal 6 Monaten.
Wird der Account nicht Verlängert, ist der Zugang mit Ablauf der Gültigkeit zu TRZ Systemen gesperrt.

Bitte antworten Sie nicht auf diese Nachricht, da sie automatisch von einem Postfach generiert wurde.


Mit freundlichen Grüßen

Abteilung xy
Straße 99
12345 dawo

sendmail($email, { transport => $transport });
			}
		}
	}

# ------------------------------------------------------------------
# disconnect from ldap
# ------------------------------------------------------------------ 
$mesg = $ldap->unbind;   # take down session
 
# ------------------------------------------------------------------
# convert none readable date/time format to readable format
# ------------------------------------------------------------------  
sub readable_date {
    my $wintime = shift;
    my $unix_epoch = win_to_unix_epoch($wintime);
    my ($year, $month, $day,) = (localtime $unix_epoch)[5,4,3,2,1,0];
    $year  += 1900;
    $month += 1;
    ($month, $day) = map { sprintf '%02d', $_ } $month, $day;
    my $LastLogin = join('-', $year, $month, $day);
}

sub win_to_unix_epoch {
    # Actually hundreths of nanoseconds at this point...
    my $nanoseconds = shift;
    # Get seconds
    my $seconds = $nanoseconds / 10_000_000;
    # This magic number is the difference between Unix and Windows epoch.
    my $unix_epoch = $seconds - 11644473600;
    # Return the Unix epoch for use with localtime().
    return $unix_epoch;
}

Herzlichen Dank an alle!
VG R.

thomas38

2018-08-15 21:03

User since
2012-11-04
30 Artikel
BenutzerIn

2018-08-15T13:07:46 Rambo
ich verstehe nicht wirklich warum man 2 Durchläufe benötgit um die Email Adr. heraus zu bekommen. Er hat ja in meinen Versuchen ca. 50% der Infos ausgespuckt :-)

In der zweiten foreach-Schleife sind während des Laufs noch nicht alle E-Mail-Adressen bekannt.
Das ist der Grund, warum es bei Dir (ohne die erste foreach-Schleife) mit einigen E-Mail-Adressen funktioniert - und mit einigen eben nicht.

Deshalb werden in der ersten foreach-Schleife zunächst ausschließlich die E-Mail-Adressen aller Benutzerkonten ermittelt und im Hash mit dem DN als Schlüssel und E-Mail-Adresse als Wert gespeichert.

rosti

2018-08-09 13:40

User since
2011-03-19
3472 Artikel
BenutzerIn

Da wäre wohl die ganze Directory zu überarbeiten damit man solche Attribute direkt adressieren kann. Am Besten Du besorgst Dir mal einen LDAP Browser.

MfG

View all threads created 2018-08-08 09:02.