So finden Sie LDAP mithilfe von LDAP -Suchbeispielen

Normalerweise weiß eine Person oder ein Mitarbeiter, die in einem großen Unternehmen arbeitet. Für die Zentralisierung der Authentifizierung ist LDAP vorteilhaft. Wenn Ihr LDAP -Verzeichnis wächst, finden Sie alle Einträge, die Sie möglicherweise verwalten müssen, wenn die Zeit kommt. LDAPSEARS ist ein Befehl, mit dem Sie Einträge im LDAP -Verzeichnisbaum finden können.

In diesem Tutorial wird erläutert, wie Sie LDAP leicht mit LDAP -Suchbeispielen finden können.

Ldapsarch

LDPSEarch wird verwendet, um Einträge für das LDAP -Datenbank -Backend zu finden. Darin bindet LDAPSEarch an einen LDAP -Server, öffnet eine Verbindung und sucht gleichzeitig mit Filtern. Gemäß RFC 1558 muss ein LDAP -Filter der String -Darstellung entsprechen. Angenommen. In diesem Fall ist der genaue Wert standardisiert und drucken die Einträge auf der Ausgabe. Wenn keine Attribute angegeben sind, gibt es alle Attribute zurück.

Hier wird die Option -x verwendet, um eine einfache Authentifizierung anzugeben.

LDAPSEARS-Befehlszeilen-Tool

Die Suchanforderung gibt die Datei an, die den Filter über Befehlszeilenargumente enthält, alle Argumente mit Ausnahme des Filters, alle Details direkt usw. bereitgestellt werden usw. Eine Datei, die LDAP -URLs und mehrere interessierende Attribute enthält, wie z. B. Umfang, DN und Filter, wird unter Verwendung derselben Syntax angegeben.

Seine einfache Syntax ist ungefähr so:

ldapsearch argumente filter [attr1 [attr2…]]

LDAP -Suche nach LDAPSEarch

Die Verwendung von LDAPSEarch mit der Option "-x" ermöglicht eine einfache Authentifizierung. Das Angeben der Suchbasis mit der Option "-B" ermöglicht eine einfache LDAP-Entdeckung. Wenn die Suche nicht direkt auf dem LDAP-Server ausgeführt wird, müssen Sie den Host mit der Option "-H" angeben.

ldapsearch -x -b -h

Wenn Sie OpenLDAP -Server installiert haben, wird auf Ihrem Netzwerkhost ausgeführt. Wenn Ihr Server in diesem Zustand eine anonyme Authentifizierung akzeptiert, führen Sie LDAP -Suchabfragen aus, ohne an ein Administratorkonto gebunden zu sein.

Der LDAP -Client geht davon aus, dass Sie den gesamten Verzeichnisbaum durchsuchen möchten, wenn kein Filter angegeben ist. Es zeigt die Informationen in seiner Gesamtheit an.

Suchen Sie LDAP mit dem Administratorkonto
Manchmal können LDAP -Abfragen als Administratorkonto ausgeführt werden, um zusätzliche Informationen vorzustellen. Um dies zu erreichen, müssen Sie eine Kraftanforderung mit dem Konto des Administrators über den LDAP -Baum stellen. Es ist notwendig, die Abfrage "LDAPSEARS" mit "-D" für den Bind-DN ​​und "-W" für das Passwort zum Lokalisieren von LDAP für das Administrationskonto auszuführen.

ldapsearch -x -b -h -d -w

Wenn Sie eine LDAP -Suche als Administrator durchführen, führen Sie die obige Abfrage aus. Sie können als Administratorkonto entlarvt werden, wenn Sie eine LDAP -Suche mit einem verschlüsselten Passwort als Benutzer ausführen. Sie sollten auch sicherstellen, dass Ihre Abfrage privat ausgeführt wird.

Ausführen von LDAP -Suche mit Filtern

Eine einfache LDAP -Suchabfrage ohne Filter auszuführen ist eine Verschwendung von Ressourcen und Zeit. Sie können eine LDAP -Suchabfrage ausführen, um bestimmte Objekte im LDAP -Verzeichnisbaum zu finden, um dies zu vermeiden.

Fügen Sie Ihren Filter zum Ende des Befehls ldapsearch hinzu, um mit dem LDAP -Eintragsfilter zu suchen. Daraufhin geben Sie den Objektwert rechts und den Objekttyp links an. Sie können optional Attribute wie Benutzerkennwort, Benutzername usw. angeben., aus dem Objekt zurückgegeben werden.

ldapsearch "(Object_type) = (Object_Value)"

Suche nach allen Objekten im Verzeichnisbaum
Geben Sie das Wildcard -Charakter „*“ mit dem Filter „ObjectClass“ an, um alle Objekte im LDAP -Baum abzurufen.

ldapsearch -x -b -h -d -w "ObjectClass =*"

Es präsentiert alle Attribute und alle Objekte, die zum Zeitpunkt der Ausführung der Abfrage im Baum verfügbar sind.

Finden von Benutzerkonten bei LDAPSEar
Alle Benutzerkonten in einem LDAP -Verzeichnisbaum haben standardmäßig die Strukturobjektklasse „Konto“. Auf diese Weise können Sie es auf alle Benutzerkonten einschränken.

ldapsearch -x -b -h -d -w "ObjectClass = Account"

Standardmäßig geben Abfragen alle für die ‌Object -Klasse verfügbaren Attribute zurück. Sie können Ihrer Abfrage optionale Attribute hinzufügen, indem Sie die Suche wie bereits durchgeführt haben. Sie müssen die folgende LDAP -Suche ausführen, wenn Sie nur an Ihrem Heimverzeichnis und dem UID, CN -Benutzer, interessiert sind.

ldapsearch -x -b -h -d -w "ObjectClass = Account" cn uid homedirectory

Führen Sie den obigen Befehl aus, um eine LDAP -Suche nach bestimmten Selektoren und Filtern erfolgreich durchzuführen.

Und Bediener mit LDAPSEarch
Um alle Filter durch "und" Operatoren zu trennen, müssen Sie zu Beginn der Abfrage und alle Bedingungen zwischen Klammern einen "&" -Scharakter beischließen.

ldapsearch "(& () () ...)"

Die folgende Abfrage findet alle Einträge, die „Ben“ haben, die „y“ und „x“ entsprechen, deren „Banken“ entspricht.”

ldapSearch "(& (ObjectClass = Banks) (y = ben))"

Wobei x gleich der Objektklasse ist und y ähnlich zu UID ist .

Oder Operator mit LDAPSEarch
Wenn Sie mehrere Filter trennen müssen, können Sie den "oder" Operator verwenden. Erstens ein "ein" einfügen "|”Charakter zu Beginn der Abfrage zusammen mit den Bedingungen.

ldapsearch "(| () ()…)"

Es ist am besten, die folgende Abfrage auszuführen, um alle Einträge mit zwei verschiedenen Objektklassen vom Typ "x" oder "Y Typ" zu finden.”

ldapsearch "(| (x = banks) (y = Jobrole))"

Wobei x und y zwei verschiedene ‌Object -Klasse sind .

Ein Negationsfilter mit LDAPSEarch
Wenn Sie einen LDAP -Verzeichnisbaum haben und einige Einträge darin entsprechen möchten, müssen Sie Klammern für die Trennung von Bedingungen einschließen und auch alle Ihre Erkrankungen mit einem “einschließen!”Charakter.

ldapsearch "(!() ()…) "

Wenn Sie beispielsweise alle Einträge übereinstimmen möchten, haben Sie die folgende Abfrage schreiben.

Sie führen die folgende Abfrage aus, wenn Sie alle Einträge übereinstimmen müssen.”

ldapsearch "(!(X = ben)) "

Wobei x ein Zustand ist.

Verwenden von LDAPSEARS, um LDAP -Serverkonfigurationen zu finden
Mit dem Befehl LDAPSEARS können Sie die Konfiguration des LDAP -Baums abrufen. Sie wissen auch, dass ein globales Konfigurationsobjekt ganz oben in der LDAP -Hierarchie steht, wenn Sie etwas über OpenLDAP kennen.

Manchmal, z. B. das Ändern des Stammadministrator -Kennworts oder das Ändern der Zugriffskontrolle, sehen Sie sich die Funktionen Ihrer LDAP -Konfiguration an.

Um LDAP -Konfigurationen zu suchen. Beachten Sie, dass Sie die Option "-y" angeben müssen, neben der Angabe "extern" als Authentifizierungsmechanismus für diese Entdeckung zu laufen.

ldapsearch -y extern -h ldapi: /// -b cn = config

Notiz: Sie müssen den obigen Befehl auf dem Server ausführen, nicht auf Ihrem LDAP -Client.

Das Standardverhalten dieses Befehls besteht darin, viele Ergebnisse zurückzugeben, einschließlich Backends, Schemata und Modulen.

Wenn Sie Ihre Suche auf die Datenbankkonfiguration beschränken möchten, können Sie die Objektklasse „olcdatabaseConfig“ mit LDAPSEarch angeben.

ldapsearch -y extern -h ldapi: /// -b cn = config "(ObjectClass = olcdatabaseConfig)"

LDAP -Suche nach Platzhalter
Neben Platzkarten können Sie auch Sternchen („*“) verwenden, um LDAP -Einträge zu durchsuchen.

Der Wildcard -Charakter funktioniert genauso wie ein Sternchen in einer Regex. Es entspricht jedem Attribut, das mit einem ‌Substring endet oder mit dem Substring beginnt.

ldapsearch "(Object_type) =*(Object_Value)"
ldapsearch "(Object_type) = (Object_Value)*"

Wenn Sie einen Eintrag mit dem Attribut „Q“ finden, beginnend mit dem Buchstaben „D“, führen Sie den folgenden Befehl aus.

ldapsearch "x = d*"

Wobei x gleich UID ist.

LDAPSEARS -Optionen

Bisher haben Sie einige wesentliche Aspekte der LDAPSEARS -Optionen gesehen, aber abgesehen davon gibt es einige erweiterte Optionen, die Sie verwenden können:

LDAP Extensible Match Filter
Sie können erweiterbare LDAP -Matching -Filter verwenden, um einige der vorhandenen Betreiber zu beenden, die Sie vertreten möchten, z. B. Gleichstellungsbetreiber.

Ein aufgeladener Standardbetreiber
Verwenden Sie die Syntax ": =", um einen LDAP -Operator zu beenden, um die Syntax ": =" zu erhalten.

ldapsearch ": ="

Wenn Sie alle Einträge finden möchten, bei denen „x“ gleich „Ben“ ist, müssen Sie den folgenden Befehl ausführen.

ldapsearch "x: = ben"

Der obige Befehl ist wie der folgende.

ldapsearch "x = ben"

Wobei „x“ gleich den Bedingungen ist.

Wenn Sie eine Suche nach "Ben" und "Ben" ausführen, erhalten Sie das gleiche Ergebnis. Infolgedessen können Sie empfindlich auf Ihre Suchergebnisse reagieren, indem Sie sie auf die genaue Übereinstimmung einschränken. „Ben.”

Sie können Filter mit „:“ -Pels mithilfe von LDAPSEarch trennen.

ldapsearch "::: ="

Sie können eine sensible Suche in der Fall durchführen, indem Sie den folgenden Befehl ausführen.

ldapsearch "x: caseexactmatch: = ben"

Abschluss

Auf diese. Sie können vorhandene Betreiber aufladen, indem Sie einen benutzerdefinierten Bediener angeben oder erweiterbare Übereinstimmungsoptionen verwenden. Wir haben Ihnen vollständige Informationen anhand von 1-mal-Ldapsearch-Befehlsbeispielen von unserer Seite zur Verfügung gestellt. Wir hoffen, dass Sie Ihre Fragen vollständig in diesem Artikel ‌Solvieren und das Problem ‌Solvieren werden.