Hvordan finne LDAP ved hjelp av LDAP -søkeksempler

Hvordan finne LDAP ved hjelp av LDAP -søkeksempler
Vanligvis vil en person eller en ansatt som jobber i et stort selskap vite hvordan LDAP er på en Linux OpenLDAP -server eller Windows Domain Controller. For sentralisering av autentisering er LDAP gunstig. Når LDAP -katalogen vokser, kan du finne alle oppføringene du kanskje trenger å administrere når tiden kommer. Ldapsarch er en kommando som hjelper deg med å finne oppføringer i LDAP -katalogtreet.

Denne opplæringen vil forklare hvordan du enkelt kan finne LDAP ved hjelp av LDAP -søkeksempler.

Ldapsarch

LDPSearch brukes til å finne oppføringer på LDAP -databasen Backend. I dette binder LDAPSearch seg til en LDAP -server, åpner en forbindelse og søker samtidig ved hjelp av filtre. I følge RFC 1558 må et LDAP -filter samsvare med strengrepresentasjonen. Anta at LDAPSearch henter attributtene som er spesifisert av attrer når en eller flere oppføringer er funnet. I så fall er den nøyaktige verdien standardisert, og skriv ut oppføringene er på utgangen. Hvis ingen attributter er spesifisert, returnerer den alle attributter.

Her brukes -x -alternativet til å spesifisere enkel autentisering, alternativet for å sende ut brukervennlig informasjon, -B -alternativet til det første søkepunktet (søkebase).

LDAPSearch Command-Line Tool

Søkeforespørselen spesifiserer filen som skal inneholde filteret via kommandolinjeargumenter, og gir alle argumenter bortsett fra filteret, og gir alle detaljer direkte osv. En fil som inkluderer LDAP -URL -er og flere attributter av interesse, for eksempel omfang, DN og filter, er spesifisert ved hjelp av samme syntaks.

Den enkle syntaksen er noe slikt:

ldapsarch argumenter filter [attr1 [attr2…]]

LDAP -søk med ldapsarch

Å bruke LDAPSearch med “-X” -alternativet muliggjør enkel autentisering. Å spesifisere søkebasen med alternativet “-B” gir enkel LDAP-oppdagelse. Hvis søket ikke kjører direkte på LDAP-serveren, må du spesifisere verten med alternativet "-h".

ldapsarch -x -b -h

Hvis du har noen OpenLDAP -server installert, kjører den på nettverksverten din. I denne tilstanden, hvis serveren din godtar anonym godkjenning, vil du utføre LDAP -søket uten å være bundet til en administratorkonto.

LDAP -klienten antar at du vil søke i hele katalogtreet hvis ikke noe filter er spesifisert. Den viser informasjonen i sin helhet.

Søk på LDAP med administratorkontoen
Noen ganger kan LDAP -spørsmål kjøres som administratorkonto for å presentere ytterligere informasjon. For å oppnå dette, må du komme med en Force -forespørsel ved å bruke administratorens beretning om LDAP -treet. Det er nødvendig å utføre "ldapsarch" -spørsmålet med "-d" for bind DN og "-W" for passordet for å finne LDAP for den administrative kontoen.

ldapsarch -x -b -h -d -w

Når du utfører et LDAP -søk som administrator, kjører du spørringen ovenfor. Du kan bli utsatt som administratorkonto når du kjører et LDAP -søk med et kryptert passord som bruker. Du bør også sørge for at spørringen din kjøres privat.

Kjører LDAP -søk med filtre

Å kjøre et enkelt LDAP -søk uten filtre er bortkastet ressurser og tid. Du kan kjøre et LDAP -søk for å finne spesifikke objekter i LDAP -katalogtreet for å unngå dette.

Legg til filteret ditt til slutten av LDAPSearch -kommandoen for å søke med LDAP -inngangsfilteret. For dette, spesifiser objektverdien til høyre og objekttypen til venstre. Du kan eventuelt spesifisere attributter som brukerpassord, brukernavn osv., som skal returneres fra objektet.

LDAPSEARCH "(Object_Type) = (Object_Value)"

Søker etter alle objekter i katalogtreet
For å hente alle objekter i LDAP -treet, spesifiser Wildcard -tegnet “*” med “ObjectClass” -filteret.

ldapsarch -x -b -h -d -w "ObjectClass =*"

Den presenterer alle attributtene og alle objektene som er tilgjengelige i treet på tidspunktet for utførelsen av spørringen.

Finne brukerkontoer med ldapsarch
Alle brukerkontoer på et LDAP -katalogtre vil ha "Konto" strukturell objektklasse som standard. Dette lar deg begrense det til alle brukerkontoer.

ldapsarch -x -b -h -d -w "ObjectClass = konto"

Som standard returnerer spørsmål alle attributter som er tilgjengelige for ‌Object -klassen. Du kan legge til valgfrie attributter til spørringen din ved å begrense søket slik du allerede har gjort. Du må kjøre følgende LDAP -søk hvis du bare er interessert i hjemmekatalogen din og UID, CN -bruker.

ldapsarch -x -b -h -d -w "ObjectClass = Konto" CN UID Homedirectory

Kjør kommandoen ovenfor for å utføre et LDAP -søk etter spesifikke velgere og filtre.

Og operatør ved bruk av Ldapsarch
For å skille alle filtre gjennom “og” -operatører, må du omslutte et “&” -karakter i begynnelsen av spørringen og alle forholdene mellom parenteser.

ldapsarch "(& () () ...)"

Følgende spørring finner alle oppføringer som har “Ben” som tilsvarer “Y” og “X” som tilsvarer “banker.”

LDAPSEARCH "(& (ObjectClass = Banks) (Y = Ben))"

Der x er lik objektklasse og y er lignende som uid .

Eller operatør ved hjelp av ldapsarch
Hvis du trenger å skille flere filtre, kan du bruke "eller" -operatøren. Først, inkluder en "|”Karakter i begynnelsen av spørringen, sammen med forholdene.

ldapsarch "(| () () ...)"

Det ville være best å kjøre spørringen nedenfor for å finne alle oppføringer med to forskjellige objektklasser av type “x” eller skriv “y.”

ldapsarch "(| (x = banker) (y = Jobrole))"

Der x og y er to forskjellige ‌Object -klasse .

Et negasjonsfilter ved bruk av LDAPSEARCH
Når du har et LDAP -katalogtre og vil matche noen oppføringer i det, må du omslutte parentes for å skille forhold og også omslutte alle tilstandene dine med en "!”Karakter.

ldapsarch "(!() () ...) "

For eksempel, hvis du vil matche alle oppføringer som ikke har en "CN" -attributt til verdien "John", vil du skrive følgende spørsmål.

Du kjører følgende spørsmål når du trenger å matche alle oppføringene som ikke har en "X" -attributt for verdien "Ben.”

ldapsarch "(!(X = ben)) "

Hvor X er en tilstand.

Bruker LDAPSearch for å finne LDAP -serverkonfigurasjoner
Ved hjelp av ldapsarch -kommandoen kan du hente konfigurasjonen av LDAP -treet. Du vet også at et globalt konfigurasjonsobjekt er øverst i LDAP -hierarkiet hvis du vet om OpenLDAP.

Noen ganger, for eksempel å endre rotadministratorpassordet eller endre tilgangskontroll, se på funksjonene i LDAP -konfigurasjonen din.

For å finne LDAP -konfigurasjoner, spesifiser “CN = Config” som søkebase i “LDAPSearch” -kommandoen. Merk at du må spesifisere alternativet "-y", i tillegg til å spesifisere "ekstern" som autentiseringsmekanismen for denne oppdagelsen å kjøre.

ldapsarch -y ekstern -h ldapi: /// -b cn = config

Merk: Du må kjøre kommandoen ovenfor på serveren, ikke på LDAP -klienten.

Standardoppførselen til denne kommandoen er å returnere mange resultater, inkludert backends, skjemaer og moduler.

Hvis du vil begrense søket til databasekonfigurasjon, kan du spesifisere "OLCDatabaseConfig" -objektklassen med LDAPSearch.

ldapsarch -y ekstern -h ldapi: /// -b cn = config "(ObjectClass = olcdatabaseconfig)"

LDAP -søk med jokertegn
Foruten jokertegn, kan du også bruke stjerner (“*”) for å søke gjennom LDAP -oppføringer.

Wildcard -karakteren fungerer på samme måte som den bruker en stjerne i en regex. Det samsvarer med ethvert attributt som ender med eller begynner med en ‌Substring.

LDAPSEARCH "(Object_Type) =*(Object_Value)"
LDAPSEARCH "(Object_Type) = (Object_Value)*"

Hver gang du finner en oppføring med attributtet "Q" som begynner med bokstaven "D", kjør følgende kommando.

ldapsarch "x = d*"

Der x er lik uid.

LDAPSearch Advanced -alternativer

Så langt har du sett noen viktige aspekter ved LDAPSearch -alternativer, men bortsett fra dette er det noen avanserte alternativer ‌Du kan bruke:

LDAP Extensible Match -filtre
Du kan bruke Extensible LDAP -matchende filtre for å overlate noen av de eksisterende operatørene du vil representere, for eksempel likestillingsoperatører.

En superladet standardoperatør
For å overlate en LDAP -operatør, bruk syntaks “: =”.

ldapsarch ": ="

Hvis du vil finne alle oppføringene der "X" er lik "Ben", må du kjøre følgende kommando.

ldapsarch "x: = ben"

Kommandoen ovenfor er som følgende.

ldapsarch "x = ben"

Der "x" er lik forhold.

Å kjøre et søk på “Ben” og “Ben” vil gi deg det samme resultatet. Som et resultat kan du være følsom for søkeresultatene dine ved å begrense dem til den nøyaktige samsvaret “Ben.”

Du kan skille filtre med ":" tegn ved hjelp av LDAPSEARCH.

ldapsarch "::: ="

Du kan utføre sakssensitivt søk ved å kjøre følgende kommando.

LDAPSEARCH "X: CaseExactMatch: = Ben"

Konklusjon

Dette er hvordan du søker i LDAP -katalogtreet ved hjelp av LDAPSearch -kommandoen. Du kan overlade eksisterende operatører ved å spesifisere en tilpasset operatør eller bruke utvidbare matchingsalternativer. Vi har gitt deg fullstendig informasjon gjennom en-for-en LDAPSearch-kommandoeksempler fra vår side. Vi håper ‌Du vil løse spørsmålene dine fullstendig gjennom denne artikkelen og vil løse problemet.