Getting Started With LDAP in Go

Недавно пришлось писать доброе количество кода на Go, который взаимодействует с AD, для одного моего клиента. AD использует легковесный протокол доступа (LDAP) для клиент серверного подключения. LDAP - старый и могущественный протокол для взаимодействия с сервисов, несмотря на это, многие мои друзья спорят, что это реливкия прошлого на данный момент. Я с ними не согласен, но мое объяснение может занять целый отдельный пост.

Два три года назад я столкнулся с LDAP вызовом. Пришлось писать некоторый Go код, который должен использовать LDAP для групп и некоторых других авторизационных вещей. В то время библиотеки были в плачевном состоянии. К сожалению, это не было выходом в то время, но к счатью, я быстро изучил работу в Go с LDAP, что поменялось к лучшему.

Эта статья предоставляет базовое введение в удивительный модуль go-ldap. Что-то вроде ввдения, о котором я мечта, когда я начал работать над LDAP проектом для моего клиента. Кроме того, я хотел иметь некую ссылку на инструкцию к которой я смог бы вернуться в будущем если понадобится. Я надеюсь вы не только найдете этот пост полезным, но так же научитесь чему-то новому. Давайте начнем.

Подключение

Прежде чем мы сможем сделать что-нибудь с AD нужно подключиться к серверу. Давайте, для начала, подключимся к серверу AD с помощью LDAP, мне кажется это естественно и правильно с точки зрения смысла. Еще Go модули описанные в этом посту называдются ldap-go, давайте разберемся с LDAP. Модуль go-ldap предоставляет несколько возможностей для подключения к LDAP серверу. Пройдеся по ним подробнее.

Все типи LDAP подключения обрабатыватся DialURL функцией. Есть несколько других функции доступных в модуле, но документация предполагает что DialURL останется единственно рабочей. Как предписывает название функции, вы передаете ей URL и функция пытается подключиться к удаленному LDAP серверу и вернуть подключение если всё прошло успешно.

Пример кода можно найти ниже:

ldapURL := "ldaps://ldap.example.com:636"
l, err := ldap.DialURL(ldapURL)
if err != nil {
        log.Fatal(err)
}
defer l.Close()

Этот код пытается установить TLS подключение к удаленному серверу. DialURL выводит тип подключения из URL который был передан функции, который в этом случае является ldaps(с s - безопасный).

Если вам нужны подробности TLS конфигурации, функция принимает самоподписанные TLS конфиги через допольнительный параметр:

ldapURL := "ldaps://ldap.example.com:636"
l, err := ldap.DialURL(ldapURL, ldap.DialWithTLSConfig(&tls.Config{InsecureSkipVerify: true}))
if err != nil {
        log.Fatal(err)
}
defer l.Close()

Пример кода выше дан только в качестве демонстрации! Ни когда не пропускайте проверку TLS когда создаете её.

Если вы не хотите использовать TLS, можно просто опустить "s" в URL адресе:

ldapURL := "ldap://ldap.example.com:389"
l, err := ldap.DialURL(ldapURL)
if err != nil {
        log.Fatal(err)
}
defer l.Close()

Вы можете так же опустить порт из адреса. Код выше показывает его для краткости. Если вы опустите порт DialURL функция автоматически подставит порт 639 для ldaps или 389 для ldap подключений. По умолчанию LDAP порт так же доступен через глобальные переменные DefaultLdapsPort и DefaultLdapPort.

Как вариант, вы можете использовать NewConn(conn net.Conn, isTLS bool) функцию которая позволяет вам использовать чистое net.Conn подключение, которое вам может понадобиться, в том или ином случае.

Наконец, вы можете так же обновить существующее подключение до TLS используя функцию StartTLS():

l, err := DialURL("ldap://ldap.example.com:389")
if err != nil {
    log.Fatal(err)
}
defer l.Close()

// Now reconnect with TLS
err = l.StartTLS(&tls.Config{InsecureSkipVerify: true})
if err != nil {
    log.Fatal(err)
}

Теперь зная как подключиться к LDAP серверу мы можем перейти к следующему шагу.

Связывание

Связывание это шаг, где LDAP сервере уже аутентифицирует клиента. Если клиент успешно прошол аутентификацию, сервер предоставляет ему доступ основываясь на его привилегиях.

Есть несколько путей для создания LDAP связываний используя ldap-go. Начнем с простого случая: неаутентифицируемое связываение.

Иногда LDAP сервер дает ограниченный доступ только для чтения для неаутентифицируемых клиентов. Выпонить его можно следующим образом:

// Подключяемя к серверу как делали выше

err = l.UnauthenticatedBind("cn=read-only-admin,dc=example,dc=com")
if err != nil {
    log.Fatal(err)
}

Если вам, всё равно нужно аутентифицироваться, в вашем распоряжении есть 2 варианта: SimpleBind и Bind. Последнее - это хорошая обертка вокруг первого, поэтому я люблю использовать её.

// Подключяемя к серверу как делали выше

err = l.Bind("cn=read-only-admin,dc=example,dc=com", "p4ssw0rd")
if err != nil {
    log.Fatal(err)
}

Наконец вы можете сделать External свзяывание которое согласно официальному заявлению позволяет клиентам запрашивать у сервера использование доступов созданных во вне по отношению к механизму клиента.

Это воплощает в реальность, то что клиент связывается в UNIX сокет(используется ldapi://) и происходит SASL/TLS аутентификация "непрямо" через UNIX сокет.

Я никогда не использовать эту форму аутентификация, поэтому я не могу что-то про него рассказать, но я думаю это полезно, в качестве sidecar когда вы подключаетесь своим сайдкаром к процессу через UNIX socket в котором ваш процесс сайдкара обрабатывает LDAP аутентификацию(через коммуникацию) от вашего имени.

LDAP CRUD

Теперь, то что мы подключились и аутентифицировались мы можем навредить. Если используемый аккаунт имеет верные доступы, вы можете начать добавлять, изменять, искать и удалять LDAP записи. Давайте посмотрим, на каждую из них в отдельности.

В общем, мы будем работать с тремя базовыми записями: groups, users и машины.

Добавление и изменение

Вы можете создать новую LDAP запись используя Add функцию. Она принимает простой параметр AddRequest. Вы можете собрать AddRequest вручную(структура AddRequest экспортируется вместе со всеми своими полями) или вы можете использовать простую функцию помощника внутри библиотеку. Мы рассмотрим оба этих случая.

Я решил сгруппировать оба примера добавление и изменение, так как они связаны очень тесно, о чем я не догадывался, а вы увидите дальше.

Добавление decided to group both the Addition and Modifications examples together since they’re more related than I had initially thought as you will see later on!

Adding Groupsгрупп

~~Adding~~Добавление ~~groups~~групп toв AD ~~took~~заставило meпопотеть aменя, ~~bit~~чтобы ~~while~~выяснить, toно ~~figure~~после ~~out~~прочтения ~~but after reading various~~различной AD ~~documentation~~страниц ~~pages~~документации Iя ~~ended~~закончил upс ~~with~~чем-то ~~something like this:~~таким:

// connectТут codeидет comesкод hereподключения 

addReq := ldap.NewAddRequest("CN=testgroup,ou=Groups,dc=example,dc=com", []ldap.Control{})
var attrs []ldap.Attribute
attr := ldap.Attribute{
      Type: "objectClass",
      Vals: []string{"top", "group"},
}
attrs = append(attrs, attr)

attr = ldap.Attribute{
      Type: "name",
      Vals: []string{"testgroup"},
}
attrs = append(attrs, attr)

attr = ldap.Attribute{
      Type: "sAMAccountName",
      Vals: []string{"testgroup"},
}
attrs = append(attrs, attr)

// makeДелаем theгруппу groupдоступной writableдля i.e. modifiableизменения
// https://docs.microsoft.com/en-us/windows/win32/adschema/a-instancetype
instanceType := 0x00000004
attr = ldap.Attribute{
      Type: "instanceType",
      Vals: []string{fmt.Sprintf("%d", instanceType},
}
attrs = append(attrs, attr)

// makeделаем theгруппе group domainдомен local andи theто groupчто toэто beбудет aгруппа security groupбезопасности
// https://docs.microsoft.com/en-us/windows/win32/adschema/a-grouptype
groupType := 0x00000004 | 0x80000000
attr = ldap.Attribute{
      Type: "groupType",
      Vals: []string{fmt.Sprintf("%d", groupType)},
}
attrs = append(attrs, attr)

addReq.Attributes = attrs

if err := l.AddRequest(addReq); err != nil {
      log.Fatal("error adding group:", addReq, err)
}
```

~~Now,~~

Теперь ~~this~~этот ~~code~~код ~~looks~~выглядит aболее ~~bit~~понятно. ~~verbose,~~Есть ~~and~~более ~~indeed~~краткий itметод ~~is.~~делать ~~There~~тоже isсамое, aно ~~more~~я ~~concise~~хотел ~~way~~показать toкод doвыше ~~the~~для ~~same~~краткости, ~~thing,~~так ~~but~~как Iэто ~~wanted~~был toмой ~~show~~первоначальный ~~the~~код.

~~above~~

Сопособ ~~code~~пол ~~for~~учше, ~~brevity~~который asделает ~~that~~тоже ~~was~~самое:

~~what my first code looked like. Here is a nicer way which does the same thing: ```go~~

// connectТут codeидет comesкод hereподключения 

addReq := ldp.NewAddRequest("CN=testgroup,ou=Groups,dc=example,dc=com", []ldp.Control{})

addReq.Attribute("objectClass", []string{"top", "group"})
addReq.Attribute("name", []string{"testgroup"})
addReq.Attribute("sAMAccountName", []string{"testgroup"})
addReq.Attribute("instanceType", []string{fmt.Sprintf("%d", 0x00000004})
addReq.Attribute("groupType", []string{fmt.Sprintf("%d", 0x00000004 | 0x80000000)})

if err := l.AddRequest(addReq); err != nil {
      log.Fatal("error adding group:", addReq, err)
}

~~There~~Выделим ~~are~~пару aвещей. ~~couple~~Первое, ofвам ~~things~~нужно toбыть ~~highlight.~~уверенными ~~First,~~в ~~you~~том, ~~need~~что toатрибуты ~~make~~objectClass ~~sure~~правильного ~~your~~типа(top ~~objectClass~~и ~~attributes are of the right type ("top" and "group"~~group).

~~Next~~Второе, ~~the~~instanceType ~~instanceType~~hex-число ~~hex~~выглядит ~~number~~пугающим, ~~looks~~но aэто ~~bit~~именно, ~~intimidating,~~то ~~but~~что ~~it is exactly what~~ждет AD ~~expects~~если ifвы ~~you~~хотите ~~want~~создать to"writable" ~~create~~то aесть ~~“writable”~~изменяемую ~~i.e.~~группу ~~modifiable group record [4]~~записи.

~~Finally,~~Наконец, ~~the~~атрибут groupType ~~attribute~~выглдяит ~~looks~~даже ~~even~~безумнее! ~~madder!~~Выходит. Itчто ~~turns~~если ~~out~~вы ifхотите, ~~you~~чтобы ~~want~~группа ~~your group to have a domain~~имела local ~~scope~~домен ~~whilst~~масштаб ~~also~~хотелок ~~it’s~~так ~~being~~же aи ~~security~~это ~~group~~так же группа безопасности(asкак ~~opposed~~противовес toраспределенной aгруппой) ~~distribution~~вам ~~group)~~нужно ~~you~~будет ~~need~~делать toпобитовые doоперации aдля ~~bitwise~~флагов ~~operation~~описаны ~~on the flags defined in~~в AD ~~docs [5]~~документации.

~~With~~Здесь ~~this~~и inсейчас, ~~place,~~начинаем. ~~you’re~~Вы ~~good~~можете toпроверить, ~~go.~~что ~~You~~группа ~~can~~создана ~~verify~~используя ~~the~~знакомую ~~group~~ldap ~~has been created using the familiar LDAP command-line tools:~~команду.

ldapsearch -LLL -o ldif-wrap=no -b "OU=testgroup,OU=Group,dc=example,dc=com" \
         -D "${LDAP_USERNAME_DN}" -w "${LDAP_BIND_PASSWD}" -h "${LDAP_HOST}" \
         '(CN=testgroup)' cn

AddingДобавление Usersюзера

~~Adding~~Добавление ~~users~~пользователя ~~turned~~потребует ~~out~~больше toпри beразработке, aи ~~bit~~меня ~~more~~осинило, ~~elaborate~~потому ~~and~~что ~~it’s~~не ~~something~~было ~~that~~достаточно ~~bit~~очевидно, meкак ~~because~~это itделать. ~~wasn’t~~Лучший ~~very~~способ ~~obvious~~научиться toэтому meделать ~~how~~конкретные ~~to do it. The best way to learn is by doing so let’s have a look at a concrete example.~~примеры.

~~Let’s~~Представим, ~~say~~вы ~~you~~хотите ~~want~~создать toнового ~~create a new~~пользователя LDAP ~~user~~и ~~and~~назначить ~~assign~~ему itпароль. toДавайте ~~some~~скажем ~~password.~~еще ~~Let’s~~вы ~~say~~не ~~additionally~~хотите, ~~you~~чтобы ~~don’t~~пароль ~~want~~имел ~~the~~срок ~~password~~действия. toЧто ~~expire.~~я ~~What~~обычно Iдумаю ~~originally~~в ~~thought~~таком ~~would~~случае doэто ~~the~~хитростью ~~trick~~сделать ~~was~~всё toв doодин ~~all~~простой ofзапрос ~~this~~AddRequest inпохожим ~~one~~образом ~~simple~~что ~~AddRequest~~был ~~in a similar fashion as shown earlier in the group example.~~ранее.

IЯ ~~thought~~думаю ~~I’d~~я ~~find~~найду ~~the right~~правильные LDAP ~~attributes,~~атрибуты, ~~shovel~~собрав ~~them~~их ~~into~~в ~~the~~AddRequest ~~AddRequest~~и ~~and~~эта ~~that~~работа ~~would~~будет beвыполнена. ~~job~~Я ~~done.~~был Iужасно ~~was~~не ~~terribly~~прав ~~wrong~~и ~~and~~на itэто ~~took~~потребовалось meнекоторое ~~some~~время ~~time~~что toбы ~~figure~~это ~~it out!~~понять.

ItПолучается ~~turns~~ключ ~~out~~- ~~the~~это ~~key~~раздеть isвесь toпроцесс ~~split~~на ~~the~~три ~~whole process into 3 steps:~~шага:

Создать отключенный аккаунт

Установить пароль для него

Включить аккаунт

~~Create~~Зная aэто, ~~disabled~~результирующий ~~account~~код ~~Set~~для ~~the~~первого ~~password~~шага ~~for~~будет ~~the~~довольно ~~user Enable the user account Knowing this, the resulting code for the step 1 is pretty simple:~~прост:

// connectТут codeидет comes hereподключение

addReq = ldp.NewAddRequest("CN=fooUser,OU=Users,dc=example,dc=com", []ldp.Control{})
addReq.Attribute("objectClass", []string{"top", "organizationalPerson", "user", "person"})
addReq.Attribute("name", []string{"fooUser"})
addReq.Attribute("sAMAccountName", []string{"fooUser"})
addReq.Attribute("userAccountControl", []string{fmt.Sprintf("%d", 0x0202})
addReq.Attribute("instanceType", []string{fmt.Sprintf("%d", 0x00000004})
addReq.Attribute("userPrincipalName", []string{"fooUser@example.com"})
addReq.Attribute("accountExpires", []string{fmt.Sprintf("%d", 0x00000000})

addReq.Attributes = attrs

if err := l.AddRequest(addReq); err != nil {
      log.Fatal("error adding service:", addReq, err)
}

~~Now~~Теперь ~~that~~аккаунт ~~the~~который ~~account~~был ~~has~~создан ~~been~~можно ~~created~~перенести weв ~~can~~второй ~~move~~шаг: onнастроить toпароль ~~the second step: setting the user password.~~пользователю.

~~Active~~Сервер ~~Directory~~AD ~~server~~хранит ~~stores~~пароль aв ~~quoted~~виде ~~password in~~кодировки little-endian UTF16 ~~encoded in~~в base64. ~~That~~К ~~was~~счастью, aдля ~~bit~~меня oflinux aпредоставляет ~~mouth~~несколько ~~full,~~удобных ~~but~~утилит ~~that’s~~которая ~~literally~~могут ~~what~~сделать Iэто ~~found~~за inнас. ~~docs.~~Чтобы ~~Luckily,~~создать ~~for~~новый meпароль ~~Linux~~правильного ~~provides a few handy utilities to take care of all of this for you. To create a new password in the right format your can run the command shown below:~~формата.

echo -n "\"password\"" | iconv -f UTF8 -t UTF16LE | base64 -w 0

~~Now~~Теперь ~~that~~вы ~~you~~создали ~~have~~праоль ~~generated~~для ~~the~~нового ~~password~~пользователя, ~~for~~время ~~the~~добавить ~~new~~его ~~user it’s time to set it in~~в LDAP ~~server.~~сервер. ~~You~~Это doможно ~~this~~сделать byизменяя ~~modifying~~у ~~the~~пользователя ~~user~~unicodePwd ~~account’s~~атрибут. ~~unicodePwd~~Код ~~attribute.~~ниже ~~The~~показывает ~~below~~как ~~code~~это ~~shows how to accomplish that:~~сделать:

// connectТут codeидет comes hereподключение 

// https://github.com/golang/text
// According to the MS docs the password needs to be enclosed in quotes o_O
utf16 := unicode.UTF16(unicode.LittleEndian, unicode.IgnoreBOM)
pwdEncoded, err := utf16.NewEncoder().String(fmt.Sprintf("%q", userPasswd))
if err != nil {
        log.Fatal(err)
}

modReq := ldap.NewModifyRequest("CN=fooUser,OU=Users,dc=example,dc=com", []ldap.Control{})
modReq.Replace("unicodePwd", []string{pwdEncoded})

if err := l.ModRequest(modReq); err != nil {
      log.Fatal("error setting user password:", modReq, err)
}

theюникод unicodeобрабатывает handlingкод codeкоторый actuallyидет comes from theиз Go textтекстового package [6]

пакета.

~~Finally~~Наконец ~~you~~нам ~~need~~нужно toвключить ~~enable~~пользователя ~~the~~изменяя ~~user account by modifying its attributes [again]:~~атрибут.

modReq := ldap.NewModifyRequest("CN=fooUser,OU=Users,dc=example,dc=com", []ldap.Control{})
modReq.Replace("userAccountControl", []string{fmt.Sprintf("%d", 0x0200})

if err := l.ModRequest(modReq); err != nil {
      log.Fatal("error enabling user account:", modReq, err)
}

~~Again,~~Снова, ~~you~~вы ~~can~~можете ~~easily~~легко ~~verify~~проверить ~~the~~что ~~user~~был ~~has~~создан ~~been created:~~пользователь.

$ ldapsearch -LLL -o ldif-wrap=no -b "OU=fooUser,OU=Users,dc=example,dc=com" \
         -D "{LDAP_USERNAME_DN}" -w "${LDAP_BIND_PASSWD}" -h "${LDAP_HOST}" \
         '(CN=fooUser)' cn

AddingДобавление machineаккаунтов accountsдля машин

~~You~~Вы ~~can~~можете ~~also~~так ~~create~~же ~~machine~~создать (machine(aka service) ~~accounts~~аккаунт inв LDAP ~~which~~который ~~are~~часто ~~often~~используется ~~used~~в inсопряжении ~~conjunction with~~с Kerberos ~~[7]~~для ~~for~~хранения ~~storing~~атрибутов ~~service~~сервиса ~~attributes~~и ~~and~~выдача ~~granting~~доступа ~~access~~различным toсервисам ~~different~~и ~~services and resources.~~ресурсам.

Machine account can be created in a similar way the user accounts are created, but there are a few differences.

Having to add "computer" value to the list of objectClass attribute values is probably the most important difference. Other than that the rest should be pretty much the same. Although some people don’t set the password for the machine accounts so you might want to skip that part completely and simply create the new LDAP record in a similar way the groups are created.

Modify DN

Sometimes you need to move an LDAP record between different Organizational Units (OU). The code to accomplish that is super simple:

// connect code comes here

// move fooUser from OU=Users to OU=SuperUsers
req := ldap.NewModifyDNRequest("CN=fooUser,OU=Users,DC=example,DC=com", "CN=fooUser", true, "OU=SuperUsers,DC=example,DC=com")
if err = conn.ModifyDN(req); err != nil {
        log.Fatalf("Failed to modify userDN: %s\n", err)
}

It’s worth noting a few things here.

First, the second parameter is an RDN (relative DN) as opposed to the [full] DN. LDAP server stores records (and other things) in a hierarchical structure (it’s actually a mad complicated graph structure). Every record exists in a rigid organizational hierarchy (probably a projection of business world from the time when AD was created, lol). So the record position is always either relative to some other [partial] DN or absolute if specified using the full DN form.

The third parameter tells the remote server whether it should delete the original record once it has been moved. If we decided to keep it we’d set the value to false. The final parameter is the new parent entry DN.

If you just wanted to rename the CN (or some other attribute) you would omit the last parameter by setting it to empty string i.e. the code which would rename the user fooUser to barUser without moving it around between different OUs would look like this:

// move fooUser to "OU=SuperUsers,dc=example,dc=com"
req := ldap.NewModifyDNRequest("CN=fooUser,OU=Users,DC=example,DC=com", "CN=barUser", true, "")
if err = conn.ModifyDN(req); err != nil {
        log.Fatalf("Failed to modify DN: %s\n", err)
}

Modify Password

Another thing you might need to do occasionally is modiyfing existing passwords. To modify an existing password you’d do something like this:

passwdModReq := ldap.NewPasswordModifyRequest("", "OldPassword", "NewPassword")
if _, err = l.PasswordModify(passwdModReq); err != nil {
        log.Fatalf("failed to modify password: %v", err)
}

If you don’t specify the new password the server will generate one for you automatically and send it back to you:

passwdModReq := ldap.NewPasswordModifyRequest("", "OldPassword", "")
passwdModResp, err := l.PasswordModify(passwdModReq)
if err != nil {
        log.Fatalf("failed to change password: %v", err)
}

newPasswd := passwdModResp.GeneratedPassword
log.Printf("New password: %s\n", newPasswd)

unlike when modifying an user account password when creating new account, you do NOT need to quote the UTF-16 vase64 encoded string!

Delete

Deleting LDAP records is super easy. All you need to do is create an DelRequest by providing the particular record ldap DN and then run the delete command like so:

delReq = ldap.NewDelRequest("CN=fooUser,OU=Users,dc=example,dc=com", []ldap.Control{})

if err := l.Delete(delReq); err != nil {
      log.Fatalf("Error deleting service: %v", err)
}

Again you can easily verify the user account has been deleted using the familiar ldapsearch command shown earlier.

Query

Last but not at least let’s talk about querying the LDAP records and their attributes.

In order to query the LDAP records you need to create a SearchRequest which you then send to the LDAP server using Search function.

The SearchRequest provides various options to fine-tune your query, but we’ll focus on the 3 I find the most important:

BaseDN is the DN you are querying for the records Filter for filtering the results Attributes you are interested in Let’s have a look at a concrete example and explain it in detail:

// connect code comes here

user := "fooUser"
baseDN := "DC=example,DC=com"
filter := fmt.Sprintf("(CN=%s)", ldap.EscapeFilter(user))

// Filters must start and finish with ()!
searchReq := ldap.NewSearchRequest(baseDN, ldap.ScopeWholeSubtree, 0, 0, 0, false, filter, []string{"sAMAccountName"}, []ldap.Control{})

result, err := l.Search(searchReq)
if err != nil {
        return fmt.Errorf("failed to query LDAP: %w", err)
}

log.Println("Got", len(result.Entries), "search results")

We start by creating a new SearchRequest and supply it with the 3 parameters I had mentioned earlier. There is one thing to notice when constructing the SearchRequest. Actually, there are two things.

First, have a proper look at the filter variable which we pass in as a search filter to the query. First thing you will notice is, the record CN is placed within the brackets (). If you don’t do that you’ll get an error when running the search:

LDAP Result Code 201 "Filter Compile Error": ldap: filter does not start with an '(' Second, notice how we escape the input when we create the filter using ldap.Escape() function. This is obviously helpful to avoid all kinds of random LDAP [security] shenanigans.

Finally, let’s talk about the rest of the parameters. By passing ldap.ScopeWholeSubtree we tell LDAP server we want to search records across the whole tree of the given DN.

There are other options available such as ldap.ScopeBaseObject which searches only within the given RDN. But for this example, I wanted to illustrate a domain-wise search.

Another thing to notice is, we pass in a slice of LDAP Attributes we are interested in. If you leave the attribute slice empty the search will return all the LDAP record attributes, which is something you might need, but I wanted to show how you can ask for a select list of attributes. Beware of the size of the attributes if you decide to query all of them!

There are plenty of other options to search LDAP at your disposal. Particularly, you should have a look at SearchWithPaging function which as its name suggests lets you page the query results if you expect huge loads of them.

Display results

Now that you know how to query the records you might want to display them in the terminal in some human-readable form. There are two handy functions at your disposal: Print and PrettyPrint.

Personally I think they seem almost the same, though PrettyPrint lets you indent the result(s) so you can see the AD tree structure more clearly. See for yourself the results of using both of the functions:

This is the result of Print():

DN: CN=fooUser,OU=Users,DC=example,DC=com
sAMAccountName: [fooUser]

This is the result of PrettyPrint(2) (see the attribute 2-space indentation):

  DN: CN=fooUser,OU=Users,DC=example,DC=com
    sAMAccountName: [fooUser]

Conclusion

We have reached the end of this post. Congrats and thank you if you stayed with me until the end! Hopefully, you learned something new and useful which expands your Go toolbox.

When I started using ldap-go library some things were not quite obvious to me, so hopefully the examples in this blog post help whoever ends up having to interact with AD using Go.

As always, if you have any questions or find any inaccuracies in the post let me know in the comments. Until next time!

https://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol
https://tools.ietf.org/html/rfc4513#section-5.1.2
https://tools.ietf.org/html/rfc4513#section-6.3.1
https://tools.ietf.org/html/rfc4422#appendix-A
https://docs.microsoft.com/en-us/windows/win32/adschema/a-instancetype
https://docs.microsoft.com/en-us/windows/win32/adschema/a-grouptype
https://github.com/golang/text
https://en.wikipedia.org/wiki/Kerberos_(protocol)