Como encontrar LDAP usando exemplos de pesquisa LDAP

Geralmente, um indivíduo ou um funcionário que trabalha em uma grande empresa saberá como o LDAP está em um servidor Linux OpenLDAP ou controlador de domínio Windows. Para centralização de autenticação, o LDAP é benéfico. À medida que o seu diretório LDAP cresce, você pode encontrar todas as entradas que pode precisar gerenciar quando chegar a hora. LDAPSERCH é um comando que ajuda você a encontrar entradas na árvore do diretório LDAP.

Este tutorial explicará como você pode encontrar facilmente LDAP usando exemplos de pesquisa LDAP.

LDAPSERCH

LDPSearch é usado para encontrar entradas no back -end do banco de dados LDAP. Nisso, o LDAPSERCH se liga a um servidor LDAP, abre uma conexão e pesquisa simultaneamente usando filtros. De acordo com a RFC 1558, um filtro LDAP deve estar em conformidade com a representação da string. Suponha que o LDAPSERCH recupere os atributos especificados pelos attrs quando uma ou mais entradas são encontradas. Nesse caso, o valor exato é padronizado e imprimir as entradas estão na saída. Se nenhum atributo for especificado, ele retornará todos os atributos.

Aqui, a opção -x é usada para especificar autenticação simples, a opção -u para produzir informações fáceis de usar, -b opção para o ponto de pesquisa inicial (base de pesquisa).

Ferramenta de linha de comando ldapsearch

A solicitação de pesquisa especifica o arquivo para conter o filtro por meio de argumentos da linha de comando, fornecendo todos os argumentos, exceto o filtro, fornecendo todos os detalhes diretamente, etc. Um arquivo que inclui URLs LDAP e vários atributos de interesse, como escopo, DN e filtro, é especificado usando a mesma sintaxe.

Sua sintaxe simples é algo assim:

ldapsearch argumentos filter [att1 [att2…]]

Pesquisa de LDAP com LDAPSERCH

Usando o LDAPSERCH com a opção "-x" permite autenticação simples. Especificar a base de pesquisa com a opção "-b" permite uma descoberta simples de LDAP. Se a pesquisa não executar diretamente no servidor LDAP, você deverá especificar o host com a opção "-h".

ldapsearch -x -b -h

Se você tiver algum servidor OpenLDAP instalado, ele é executado no seu host de rede. Nesta condição, se o seu servidor aceitar autenticação anônima, você executará consultas de pesquisa LDAP sem estar vinculado a uma conta de administrador.

O cliente LDAP assume que você deseja pesquisar em toda a árvore do diretório se nenhum filtro for especificado. Ele exibe as informações na íntegra.

Pesquise LDAP com a conta de administrador
Às vezes, as consultas LDAP podem ser executadas como conta de administrador para apresentar informações adicionais. Para conseguir isso, você deve fazer uma solicitação de força usando a conta do administrador da árvore LDAP. É necessário executar a consulta "LDAPSERCH" com "-d" para o bind dn e "-w" para que a senha localize o LDAP para a conta administrativa.

ldapsearch -x -b -h -d -w

Ao executar uma pesquisa LDAP como seu administrador, execute a consulta acima. Você pode ser exposto como uma conta de administrador ao executar uma pesquisa LDAP com uma senha criptografada como usuário. Você também deve garantir que sua consulta seja executada em particular.

Executando pesquisas LDAP com filtros

Executa uma consulta simples de pesquisa em LDAP sem filtros é um desperdício de recursos e tempo. Você pode executar uma consulta de pesquisa LDAP para encontrar objetos específicos na árvore do diretório LDAP para evitar isso.

Adicione seu filtro ao final do comando ldapsearch para pesquisar com o filtro de entrada LDAP. Para isso, ‌Secifique o valor do objeto à direita e o tipo de objeto à esquerda. Opcionalmente, você pode especificar atributos como senha de usuário, nome de usuário, etc., a ser devolvido do objeto.

ldapsearch "(object_type) = (object_value)"

Procurando todos os objetos na árvore de diretórios
Para recuperar todos os objetos na árvore LDAP, especifique o caractere curinga "*" com o filtro "ObjectClass".

ldapsearch -x -b -h -d -w "objectClass =*"

Ele apresenta todos os atributos e todos os objetos disponíveis na árvore no momento da execução da consulta.

Encontrando contas de usuário com ldapsearch
Todas as contas de usuário em uma árvore de diretório LDAP terão a classe de objeto estrutural da "conta" por padrão. Isso permite reduzi -lo a todas as contas de usuário.

ldapsearch -x -b -h -d -w "objectClass = conta"

Por padrão, as consultas retornam todos os atributos disponíveis para a classe ‌Object. Você pode adicionar atributos opcionais à sua consulta, estreitando a pesquisa como você já fez. Você precisará executar a seguinte pesquisa LDAP se estiver interessado apenas no seu diretório doméstico e no UID, CN Usuário.

ldapsearch -x -b -h -d -w "objectClass = conta" CN UID Homedirectory

Execute o comando acima para executar uma pesquisa LDAP por seletores e filtros específicos com sucesso.

E operador usando LDAPSERCH
Para separar todos os filtros por meio de operadores "e", você deve incluir um personagem "&" no início da consulta e todas as condições entre parênteses.

LDAPSERCH "(& () ()…)"

A consulta a seguir encontra todas as entradas que têm "Ben" que são iguais a "y" e "x" que são iguais a "bancos.”

ldapsearch "(& (objectClass = bancos) (y = ben))"

Onde x é igual à classe de objeto e y é semelhante ao UID .

Ou operador usando LDAPSERCH
Se você precisar separar vários filtros, pode usar o operador "ou". Primeiro, inclua um “|”Caráter no início da consulta, juntamente com as condições.

LDAPSERCH "(| () ()…)"

Seria melhor executar a consulta abaixo para encontrar todas as entradas com duas classes de objetos diferentes do tipo "x" ou tipo "y.”

ldapsearch "(| (x = bancos) (y = jobrole))"

Onde x e y são duas ‌Object Class diferentes .

Um filtro de negação usando LDAPSECH
Quando você tem uma árvore de diretório LDAP e deseja combinar algumas entradas nela, você precisa incluir parênteses para separar condições e também incluir todas as suas condições com um “!" personagem.

ldapsearch "(!() ()…) "

Por exemplo, se você deseja combinar todas as entradas que não têm um atributo "CN" de valor "John", você escreveria a seguinte consulta.

Você executa a seguinte consulta quando precisa corresponder a todas as entradas que não têm um atributo "X" do valor "Ben.”

ldapsearch "(!(X = ben)) "

Onde x é uma condição.

Usando o LDAPSERCH para encontrar configurações de servidor LDAP
Usando o comando ldapsearch, você pode recuperar a configuração da árvore LDAP. Você também sabe que um objeto de configuração global está no topo da hierarquia LDAP, se você souber sobre o OpenLDAP.

Às vezes, como modificar a senha do administrador da raiz ou alterar o controle de acesso, observe os recursos da sua configuração LDAP.

Para localizar as configurações LDAP, especifique "cn = config" como a base de pesquisa no comando "ldapsearch". Observe que você deve especificar a opção "-y", além de especificar "externo" como o mecanismo de autenticação para essa descoberta executar.

ldapsearch -y externo -h ldapi: /// -b cn = config

Observação: Você deve executar o comando acima no servidor, não no seu cliente LDAP.

O comportamento padrão deste comando é retornar muitos resultados, incluindo back -ends, esquemas e módulos.

Se você deseja limitar sua pesquisa à configuração do banco de dados, poderá especificar a classe de objeto “olcdatabaseConfig” com LDAPSERCHE.

ldapsearch -y externo -h ldapi: /// -b cn = config "(objectClass = olcdatabaseConfig)"

LDAP pesquisa com curingas
Além dos curingas, você também pode usar asteriscos ("*") para pesquisar nas entradas LDAP.

O personagem curinga funciona da mesma maneira que usa um asterisco em um regex. Corresponde a qualquer atributo que termine ou começa com um ‌substring.

ldapsearch "(object_type) =*(object_value)"
ldapsearch "(object_type) = (object_value)*"

Sempre que você encontrar uma entrada com o atributo "q" começando com a letra "D", execute o seguinte comando.

ldapsearch "x = d*"

Onde x é igual a uid.

Opções avançadas do LDAPSERCH

Até agora, você viu alguns aspectos essenciais das opções de pesquisa ldaps, mas, além disso, existem algumas opções avançadas - você pode usar:

Filtros de correspondência extensível LDAP
Você pode usar filtros de correspondência LDAP extensíveis para sobrecarregar alguns dos operadores existentes que deseja representar, como operadores de igualdade.

Um operador padrão sobrecarregado
Para sobrecarregar um operador LDAP, use a sintaxe “: =”.

ldapsearch ": ="

Se você quiser encontrar todas as entradas em que "X" é igual a "Ben", você deve executar o seguinte comando.

ldapsearch "x: = ben"

O comando acima é como o seguinte.

ldapsearch "x = ben"

Onde "x" é igual a condições.

Executar uma pesquisa em "Ben" e "Ben" lhe dará o mesmo resultado. Como resultado, você pode ser sensível aos seus resultados de pesquisa, limitando -os à correspondência exata “Ben.”

Você pode separar filtros com os caracteres ":".

ldapsearch "::: ="

Você pode realizar pesquisas sensíveis ao caso executando o seguinte comando.

LDAPSERCH "X: CASEEXACTMATCH: = Ben"

Conclusão

É assim que pesquisar na árvore do diretório LDAP usando o comando ldapsearch. Você pode sobrecarregar os operadores existentes especificando um operador personalizado ou usando opções de correspondência extensível. Fornecemos informações completas através de exemplos de comando um por um ldapsearch do nosso lado. Esperamos que você resolva suas perguntas completamente através deste artigo e resolva o problema.