Vrydag, 30 Maart, 2007 ldapsearch is een van die standaard tools ingesluit met OpenLDAP om LDAP dopgehou navraag. Omdat Active Directory is LDAP voldoen, kan dit so goed bevraagteken die eerste plek 'n opdrag. Wees nie bevrees nie, sal dit afgebreek word in sy komponente Nou om dit af te breek: - H Dit is die volle gekwalifiseerde naam van 'n domein kontroleerder, met die LDAP: // URL voorafgaande. Let daarop dat dit nie die gebruik van SSL - tt Hierdie opsie nie in die handleiding bladsy blootgestel. Dit sal alle waardes skryf om 'n tydelike gids. Op OS X, dit skryf aan / private / var / tmp - x Eenvoudige verifikasie. Dit is nie die gebruik van SSL of enige vorm van enkripsie om die gebruikersnaam en wagwoord - D Die rekening wat moet gebruik word om te bind kommunikeer. Omdat hierdie navraag word teen Active Directory, kan die kort vorm gebruik van activedirectoryuserdc. domain. - B Die basis soekpad. Gewoonlik is die basis soekpad is die boonste vlak domein word bevraagteken, dit wil sê dcdomain, dccom, as jou Active Directory domein domein - W Dit vra vir die wagwoord, sodat dit nie nodig om daaroor gevoer word nie met die opdrag. - L Antwoorde verskyn in LDIFv1 formaat. Die laaste item in die opdrag is die item wat bevraagteken word. In hierdie geval, is 'n rekenaar voorwerp wat bevraagteken. So, wat is teruggestuur uitreiking van die bogenoemde opdrag, teen my Active Directory die volgende lêers terug in enige van die lêers kan ontleed word, terugkeer nuttige inligting oor die voorwerp in die vraag. Wat gebeur as die gebruik daarvan AD behulp skoonteks isnt wat jy wil Daar is ander opsies Hierdie opsie kan bygevoeg word, en dit sal SASL stille af gebruik. Gewoonlik, wanneer die gebruik van hierdie opsie, is dit die beste om 'n Kerberos kaartjie van Active Directory met kinit kry. Hier is die algemene workflow: 'n Paar aantekeninge oor hierdie opdrag. Let op die - Q opsie, sodat daar geen wagwoord word vereis. Hierdie opdrag sal ook die resultate van die soektog terug by die command line terugkeer, sonder die stoor van die inligting. Een laaste opdrag, tipies, toe hy by 'n masjien te Active Directory, te herwin die korrekte OU pad gebruik wanneer hy by 'n masjien is die moeilikste deel van die aansluiting by 'n masjien. Hier is 'n een sak dat die volledige OU pad van 'n rekenaar voorwerp in AD sal onttrek: Hierdie opdrag wanneer gestuur deur sed, gee 'n mooi geformatteerde stuk teks, insluitend die computerobjectname. Attribute vir AD Gebruikers. objectSID Wanneer jy iemand toestemming op 'n voorwerp te gee, dan is dit nie die naam van die trustee wat ingesluit is in die verband met toegangsbeheer lys (ACL). Dit is eerder die SID wat in die lys bepaal word ingevoer: Dit geld vir regte voorwerp vir Gids sowel as voorwerpe vir lêerstelsel regte op 'n lid-bediener in die domein. Die benadering dus die regte gehandhaaf word selfs al is die rekeninge herdoop. Microsoft Security ID's gestoor word as binêre eienskappe (LDAP sintaksis is octet string) en het eers ontsyfer hulle omskep in 'n bekende, leesbare vorm, byvoorbeeld soos dit te kry: Dies ist die Schreibweise einer Voorbeeld-SID in der Notasie der Sekuriteit descriptor Definisie taal (SDDL). Typischerweise setzt sich sterf SID eines Active Directory Benutzers setzt sich immer aus Zwei Bestandteilen zusammen: Dem Domaumlnenanteil (der bei Allen SID's innerhalb einer Domaumlne Konstant bleibt) und dem Realitven SID-Anteil (der sodat onder genoemde RID). Die RID ist immer der letzte Ziffernblock hinter dem letzten Minuszeichen, in unserem Voorbeeld ook 1137. Alle weiteren Besonderhede zum technischen Aufbau und dem Umgang mit SID's sind im SelfADSI Artikel quotMicrosoft SID Attributequot enthalten. Leerreëls koumlnnen Sie Sehen, wie man nach Objekten mit einer bestimmten SID sucht, oder Welche anderen wichtigen Kenmerk ebenfalls SID-Werte enthalten. 'N dieser Stelle sei Nur Kurz gezeigt, wie iemand sterwe SID eines Benutzers ausliest und as SDDL String darstellt: jy moet die regte naam te gebruik van 'n voorwerp van jou eie omgewing hier Stel obj aangestuur vir GetObject (quotLDAP: // cnFoeckeler, cnUsers, dccerrotorre, dcdequot) pureSidData OctetToHexStr (obj. objectSid) sDDLSidStr HexStrToSID (pureSidData) WScript. Echo obj. cn WScript. Echo pureSidData WScript. Echo sDDLSidStr Function HexStrToSID (strSid) vat 'n rou SID blok string om die grond SID string (SDDL) ReDim data ( Len (strSid) / 2 - 1), want ek 0 Om UBound (data) data (i) Cint (quotampHquot amp Mid (strSid, 2i 1, 2)) Volgende HexStrToSID quotS-quot amp data (0) amp quot-quot amp Byte6ToLong (data (2), data (3), data (4), data (5), data (6), data (7)) blockCount data (1) want ek 0 Om blockCount - 1 geneutraliseer 8 4i HexStrToSID HexStrToSID amp quot-quot amp Byte4ToLong (data (offset3), data (offset2), data (offset1), data (geneutraliseer)) Volgende End Function helper funksies Function OctetToHexStr (varoctet) vat suiwer binêre data (byte skikking) na 'n string met heksadesimale waardes OctetToHexStr quotquot Vir n 1 Om lenb (varoctet) OctetToHexStr OctetToHexStr amp Reg (quot0quot amp Hex (ascb (midb (varoctet, N, 1))), 2) Volgende End Function Function Byte4ToLong (ByVal B1, ByVal B2, ByVal B3, ByVal B4) vat 4 grepe om die grond lank waarde Byte4ToLong B1 Byte4ToLong Byte4ToLong 256 B2 Byte4ToLong Byte4ToLong 256 B3 Byte4ToLong Byte4ToLong 256 b4 End Function Function Byte6ToLong (ByVal B1, ByVal B2, ByVal B3, ByVal b4, ByVal B5, ByVal B6) vat 6 grepe om die grond lank waarde Byte6ToLong B1 Byte6ToLong Byte6ToLong 256 B2 Byte6ToLong Byte6ToLong 256 B3 Byte6ToLong Byte6ToLong 256 b4 Byte6ToLong Byte6ToLong 256 b5 Byte6ToLong Byte6ToLong 256 B6 End FunctionAttributes met opsie Binary Sommige gids stelsels af te dwing 'n spesiale behandeling vir sekere eienskappe, sodat die LDAP skryf opsie binêre moet gebruik word. Die rede hiervoor: Die rakende kenmerk waardes of bewering waardes moet wees BEO (Basiese Encoding Reëls) ingebou - anders sal die waardes geënkodeer volgens die LDAP-spesifieke enkodering RFC 4517 vir die eienskappe sintaksis. Om hierdie spesiale hantering opluisteren, die LDAP bediener terug sulke eienskappe slegs met die binêre opsie. LDAP opsies soos die binêre opsie is oor die algemeen beskryf in in LDAP v3 spesifikasie in RFC 4511. Hulle is by die kenmerk name as 'n agtervoegsel wanneer die LDAP bediener en die kliënt te kommunikeer met mekaar, byvoorbeeld soos volg: Die binêre opsie in die besonder is beskryf in RFC 4522. Soms is dit nie duidelik in die gids voldoende skedule gemerk as 'n kenmerk 'n hantering met die binêre opsie vereis. In hierdie gevalle moet jy die moontlikheid om so 'n kenmerk in die binêre Opsie sit lys eienskappe in die aansoek opsies onder Tools - Options - LDAP-instellings: So sulke eienskappe kan lees en geskrewe sonder probleme. Gewoonlik sal jy nie het om hard te werk op hierdie lys omdat die meeste van die eienskappe wat die binêre opsies moet word vooraf vasgelê as verstek waardes hier. Jy sal besef wanneer 'n kenmerk moet by hierdie lys gevoeg as jy dit sien in die kenmerk lys paneel met die binêre string aan die einde van die eienskappe te noem: Nog 'n simptoom wat jy waarskuwings om so 'n kenmerk naam aan die Binary Opsie eienskappe voeg lys: 'n protokol fout begaan as jy wil so 'n kenmerk sonder die binêre opsie skryf:.. ldapsearch ldapsearch mdash Soek LDAP boom beskrywing hulpbron ldapsearch (hulpbron linkidentifier string basedn string filter, verskeidenheid eienskappe, int attrsonly, int sizelimit, int limiet, int deref) Voer die soektog na 'n gespesifiseerde filter in die gids voldoende met die omvang van LDAPSCOPESUBTREE. Dit is gelykstaande aan soek die hele gids. Van 4.0.5 op it039s ook moontlik om parallelle soektogte doen. Om dit te doen wat jy 'n verskeidenheid van skakel identifiseerders gebruik, eerder as 'n enkele identifiseerder, as die eerste argument. As jy don039t wil dieselfde basis DN en dieselfde filter vir al die navrae, kan jy ook 'n verskeidenheid van basis DN en / of 'n verskeidenheid van filters gebruik. Diegene skikkings moet van dieselfde grootte as die skakel identifiseerder verskeidenheid sedert die eerste inskrywings van die skikkings gebruik vir een soek nie, is die tweede inskrywings vir 'n ander, en so aan. Wanneer doen parallel navrae 'n verskeidenheid van resultaat identifiseerders teruggestuur, behalwe in die geval van foute, dan is die inskrywing wat ooreenstem met die soektog sal vals is. Dit is baie soos die waarde normaalweg teruggekeer, behalwe dat 'n gevolg identifiseerder altyd teruggekeer toe 'n soektog is gemaak. Daar is 'n paar seldsame gevalle waar die normale soek terug ONWAAR terwyl die parallel soek 'n identifiseerder terugkeer. Parameters 'n LDAP skakel identifiseerder, teruggekeer deur ldapconnect (). Die basis DN vir die gids. Die soektog filter kan maklik en gevorderde wees, met behulp van Boolese operatore in die in die LDAP dokumentasie beskryf formaat (sien die raquo Netscape Gids SDK of raquo RFC4515 vir volledige inligting oor filters). 'N verskeidenheid van die vereiste eienskappe, bv verskeidenheid (quotmailquot, quotsnquot, quotcnquot). Let daarop dat die quotdnquot altyd ongeag teruggestuur waarvan eienskappe tipes word versoek. Die gebruik van hierdie parameter is baie meer doeltreffend as die standaard aksie (wat al die eienskappe en die gepaardgaande waardes terug te keer). Die gebruik van hierdie parameter moet dus oorweeg word goeie praktyk. Moet ingestel word om 1 indien slegs toeskryf tipes wou. As stel na 0 beide eienskappe tipes en kenmerk waardes is vergesog wat is die standaard gedrag. In staat stel om die telling van inskrywings haal beperk. Om dié waarde op 0 beteken geen beperking. Hierdie parameter kan NIE ignoreer bediener-kant voorafbepaalde sizelimit. Jy kan dit al gestel laer. Sommige gids bediener leërskare sal ingestel word om nie meer terugkom as 'n voorafbepaalde aantal inskrywings. As dit gebeur, sal die bediener aan te dui dat dit net teruggekeer het 'n gedeeltelike uitslae stel. Dit gebeur ook as jy hierdie parameter gebruik om die telling van vergesog inskrywings te beperk. Stel die aantal sekondes hoe lank is bestee aan die soek. Om dié waarde op 0 beteken geen beperking. Hierdie parameter kan NIE ignoreer bediener-kant voorafbepaalde limiet. Jy kan dit al gestel laer. Spesifiseer hoe aliasse tydens die soektog hanteer moet word. Dit kan een van die volgende wees: LDAPDEREFNEVER - (verstek) aliasse is nooit dereferenced. LDAPDEREFSEARCHING - aliasse moet dereferenced tydens die soektog, maar nie wanneer die opspoor van die basis doel van die deursoeking. LDAPDEREFFINDING - aliasse moet dereferenced wanneer opspoor die basis voorwerp, maar nie tydens die soektog. LDAPDEREFALWAYS - aliasse moet altyd dereferenced. Terugkeer Waardes Wys 'n resultaat identifiseerder of ONWAAR op fout. Voorbeelde Die onderstaande voorbeeld gekry van die organisatoriese eenheid, van, voornaam en e-posadres vir alle mense in quotMy Companyquot waar die vanne of voornaam bevat die substring persoon. Hierdie voorbeeld gebruik van 'n Boole filter om die bediener te vertel om te kyk vir inligting in meer as een kenmerk. Voorbeeld 1 LDAP soek ltphp // ds is 'n geldige skakel identifiseerder vir 'n gids bediener // persoon of 'n deel van 'n naam persone, bv Jo dn oMy Company, ide filter ((SN persoon) (givenname persoon)) justthese verskeidenheid ( ou. SN. givenname. pos) sr ldapsearch (ds. dn. filter. justthese) info ldapgetentries (ds. sr) eggo inligting telling. inskrywings returnedn GT Notes contributives 31 notas ltphp settimelimit (30) errorreporting (EALL) iniset (errorreporting. EALL) iniset (displayerrors. 1) // config ldapserver svr. domain ldapuser administrateur ldappass PASSWORDHERE ldaptree OUSBSUsers, OUUsers, OUMyBusiness, DCmyDomain, DClocal // verbind ldapconn ldapconnect (ldapserver) of sterf (Kon nie aan LDAP bediener.) As (ldapconn) // binding aan LDAP bediener ldapbind ldapbind of sterf (fout met bind (ldapconn ldapuser ldappass..):. ldaperror (ldapconn )) // verifieer bindend as (ldapbind) eggo LDAP bind suksesvolle. ltbr / gtltbr / GT gevolg ldapsearch (. ldapconn ldaptree (CN).) of sterf (Fout in soektog:. ldaperror (ldapconn)) data ldapgetentries (. ldapconn gevolg) // Wys alle data eggo lth1gtDump al datalt / h1gtltpregt printr ( data) eggo Dit / pregt // iteraat oor verskeidenheid en druk data vir elke inskrywing eggo lth1gtShow my die userslt / h1gt vir (i 0 i LT data reken i) // eggo DN word:. dataidn. ltbr / GT eggo Gebruiker:. data I GN 0. ltbr / GT indien (isset (data i pos 0)) eggo E-pos:. data i pos 0. ltbr / gtltbr / GT anders eggo E-pos: Noneltbr / gtltbr / GT // Print aantal inskrywings gevind eggo Aantal inskrywings gevind. ldapcountentries (ldapconn. gevolg) anders eggo LDAP bind misluk. // Al gedoen skoon te maak ldapclose (ldapconn) GT Dit kan nuttig wees om 'n lys van hier die operateurs wat werk wees: - wedstryde presiese waarde xxx - wedstryde waardes eindig xxx xxx - wedstryde waardes begin xxx xxx - wedstryde waardes bevat xxx - wedstryde alle waardes ( As stel - NULLS is nie teruggekeer) gtxxx - wedstryde was alles uit xxx tot einde van die gids ltxxx - wedstryde alles tot xxx in gids xxx - wedstryde soortgelyke inskrywings (nie alle stelsels) Boolese operatore vir die bou van komplekse search amp (term1) (term2) - wedstryde term1 EN term2 (term1) (term2) - wedstryde term1 OF term2 (term1) - wedstryde NIE term1 amp ((term1) (term2)) ((amp (term1) (term2)) - wedstryde XOR term1 term2 sommige van die meer compelx konstruksies blyk te werk met wisselende grade van doeltreffendheid -. soms kan dit beter wees om 'n paar van die resultate met die soektog filter en doen verdere filter in PHP blyk dit dat al die velde moet gebruik word in kleinletters, selfs as hulle gemeng geval in die ldapsearch uitset gidNumber:. 1010 home Directory: / huis / DNT eggo gid:. infoigidnumber0. ltbrgt eggo tuisgids. infoihomedirectory0.ltbrgt nie (infoihomeDirectory0) ens Klein verduideliking op AD LDAP Searchs. Klein tikfout in die vorige voorbeeld, en nie meer waardes per kenmerk vertoon. Hier is die for-lus om al die inskrywings te noem, skryf, en waardes: bind ldapbind (verbinding) // asume anon verbind of voeg gebruiker / slaag of uitgang (gtgtCould nie verplig om ldaphostltlt) gelees ldapsearch (konnekteer, basedn, filter) of uitgang ( gtgtUnable te soek LDAP serverltlt) info ldapgetentries (koppel, lees) eggo infocount. inskrywings returnedltbrgt // Ek inskrywings // II eienskappe vir inskrywing // iii waardes per kenmerk vir (i 0 iltinfocount i) vir (ii0 iiltinfoicount ii) data infoiii vir (iii0 iiiltinfoidatacount iii) eggo data.:ampnbspampnbsp. infoidataiii. ltbrgt eggo ltpgt // aparte inskrywings die interne eienskappe (soos createTimestamp, modifyTimestamp, ens), dont kom by verstek (wanneer die opsionele parameter eienskappe is nie ingestel). Jy moet dit spesifiseer: Voorbeeld van parallel search: ltphp basedn verskeidenheid (. DmdNameusers, dcfoo, dcfr dmdNameusers, dcbar, dccom) // twee basedn filter (amp (objectClassinetOrgPerson) (uid)) // enkele filter eienskappe verskeidenheid (DN. uid. SN) CNX ldapconnect (localhost. 389) // enkele verband ldapsetoption (CNX. LDAPOPTPROTOCOLVERSION. 3) ldapbind (CNX. uidroot, dcfoo, dcfr. wagwoord) // verifikasie op twee BDB ldapbind (CNX. uidroot, dcbar, dccom . wagwoord) soek ldapsearch (array (CNX. CNX), basedn. filter. skryf) // soek // lei vir (i 0 i lt tel (search) i) printr (ldapgetentries (CNX. soek i)) Print N GT probeer om ldaplist () gebruik, indien moontlik. Dit is baie vinniger. ldapsearch soek 'n bestek van LDAPSCOPESUBTREE, maar ldaplist soek 'n bestek van net LDAPSCOPEONELEVEL. Dit het 'n groot verskil op Novell eDirectory 8.6.1, selfs vir 'n navraag wat net teruggekeer 130 voorwerpe. Met behulp van 'n kenmerk lys, die 4de funksie parameter (van óf funksie), ook navrae vinniger. Om substructuur soek doen van bo DN in Active Directory, Maak seker dat jy jou ldapsetoption doen (). ltphp ldaphost PDC basedn DCphp, DCnet filter (cnJoe gebruiker) ldapuser CNJoe Gebruiker, OUSales, DCphp, DCnet ldappass slaag verbind ldapconnect (ldaphost. ldapport) of uitgang (gtgtCould nie meer toegang tot LDAP serverltlt) ldapsetoption (verbind. LDAPOPTPROTOCOLVERSION. 3) ldapsetoption ( verbind. LDAPOPTREFERRALS. 0) bind ldapbind (verbind. ldapuser. ldappass) of uitgang (gtgtCould nie verplig om ltlt ldaphost) gelees ldapsearch (verbind. basedn. filter) of uitgang (gtgtUnable om LDAP serverltlt soek) info ldapgetentries (verbind. lees) eggo inligting telling. inskrywings returnedltpgt II 0 vir (i 0 II LT inligting i tel ii) data info I II eggo data. : Ampnbspampnbsp. info Ek data 0. ltbrgt ldapclose (verbinding) GT Ten einde die navrae uit te voer op Windows 2003 Server Active Directory jy die LDAPOPTREFERRALS opsie om 0 te stel: ldapsetoption (LDAP, LDAPOPTREFERRALS, 0) Sonder hierdie, jy sal Bedryf fout as jy probeer om die soek hele AD skedule (met behulp van wortel van die domein as 'n basedn). In teenstelling met Windows 2000 Server, waar hierdie opsie is opsioneel en net verhoog die prestasie. Resultate van ActiveDirectory kan bestel word deur objectSid. Ons kan alle gebruikers kry vir elke bladsy grootte deur verander filter. ltphp //. verbind met LDAP lastsid terwyl (1) filter (objectClassuser) indien (StrLen (lastsid)) lys (v) arrayvalues (pak (V. substr (lastsid. 24))) // ID vir die gebruiker. s substr (lastsid. 0. 24). Pack (V. 1 v) // volgende sid. s pregreplace (/../. 0. bin2hex (s)) // ontsnap vir fiter filter (amp. filter. (objectSidgt. s.)) // fiter vir volgende inskrywings. res ldapsearch (LDAP. basedn. filter, verskeidenheid (objectSid. CN)) if (ldapcountentries (LDAP. koshuis)) breek vir (ent ldapfirstentry (LDAP. koshuis) ent ent ldapnextentry (LDAP. ent)) lys (lastsid) ldapgetvalueslen ( LDAP. ent. objectSid) GT Ek is besig met 'n script waar ek nodig het om al die gebruikers wat lid van 'n spesifieke MS Advertensie was kry. As gevolg van PHP fout 42060 (foute / bugid42060) kon ek nie al die gebruikers terug wat lid van die groep was nie. Na googlen vir 'n dag het ek 'n artikel en 'n kol, maar dit vereis dat ek afgelaai van die bron-kode vir PHP 5.1.6 of 5.2.10 run die kol en as hercompileren die kode om die probleem op te los. Probleem was 1) Ek is nie 'n Linux goeroe so ek was nie baie gemaklik om dit te doen. 2) Ek hardloop die script op 'n produksie masjien met ander kode met behulp van PHP en het nie geweet wat die gevolge sou bee vir daardie kode. 3) Ek kon PHP nie meer werk omdat in nuwer weergawes van hierdie pleister sal waarskynlik nie meer werk nie. Maar gister het ek die lig en het 'n paar kode om hierdie probleem te kry, miskien ander mense kan dit gebruik wat dieselfde probleem het. ltPHP startFilter (amp (memberOf. Advertensie.)) startResults ldapsearch (ldapconnect. user base. startFilter. attr) countResult ldapcountentries (ldapconnect. startResults) INDIEN (countResult 1000 of countResult 1500) // lus trog die getal 97-122 (ASCII nommer vir die karakters az) vir (a 97 'n LT 122 a) // vertaal die getal van 'n karakter karakter Kron (a) // die nuwe search filter lyne terug alle gebruikers met 'n laaste naam begin met karakter filter (amp (SN karakter) (memberOf Advertensie)) lei ldapsearch (ldapconnect. user base. filter. attr) countResult2 ldapcountentries (ldapconnect. uitslae) // Kyk of die soeke na alle gebruikers wat begin met 'n spesifieke karakter treffers steeds die soektog limiet // indien wel as om 'n nuwe soek om al die gebruikers te vind waar die laaste naam begin met aa en // as met AB, AC ens ens // In die beste geval kan ons nou vind 675,324 gebruikers per groep toe die soektog limiet is 1000 // ((26 999 vir die vuis karakter) 26 vir die tweede karakter) // en 1.013.324 wanneer die soek limiet is 1500 As (countResult2 1000 of countResult2 1500) vir (b 97 b LT 122 b) character2 Kron (b) filter2 (amp (SN charactercharacter2) (memberOf Advertensie)) resultate2 ldapsearch (ldapconnect. user base. filter2. attr) count2 ldapcountentries (ldapconnect. resultate2) entries2 ldapgetentries (ldapconnect. resultate2) // doen jou ding Else inskrywings ldapgetentries (ldapconnect. uitslae) // doen jou ding anders inskrywings ldapgetentries (ldapconnect. startResults) // doen jou ding gtldapsearch (1 ) - Linux man bladsy beskrywing ldapsearch is 'n dop-toeganklike koppelvlak tot die ldapsearchext (3) biblioteek oproep. ldapsearch maak 'n verbinding met 'n LDAP bediener, bind, en voer 'n soektog met behulp van bepaalde parameters. Die filter moet voldoen aan die string verteenwoordiging vir die soektog filters soos omskryf in RFC 4515. Indien nie verskaf, die standaard filter, (voorwerpklas). is gebruik. As ldapsearch een of meer inskrywings vind, is die wat deur attrs eienskappe teruggekeer. As gelys word alle gebruikers eienskappe teruggekeer. As gelys word alle operasionele eienskappe teruggekeer. Indien geen attrs gelys word alle gebruikers eienskappe teruggekeer. Indien slegs 1.1 gelys is, sal geen eienskappe teruggestuur word. Die resultate word vertoon met behulp van 'n uitgebreide weergawe van LDIF. Opsie - L beheer die formaat van die uitset. Opsies Druk weergawe inligting. As vv geskied, word net die weergawe inligting gedruk. d debuglevel Stel die LDAP ontfouting vlak te debuglevel. ldapsearch moet saamgestel met LDAPDEBUG gedefinieer vir hierdie opsie om 'n effek te hê. - n Wys wat sou gebeur, maar moenie die soek eintlik uit te voer. Nuttig vir ontfouting in samewerking met v. Begin in verbose mode, met baie diagnose geskryf standaard uitset. Deurlopende werking af. Foute is aangemeld nie, maar ldapsearch sal voortgaan met navrae. Die verstek is om af te sluit nadat verslagdoening 'n fout. Slegs nuttig in samewerking met f. Sluit die User Friendly Naam vorm van die Distinguished Name (DN) in die uitset. 'N Enkele t skryf opgespoor nie-printable waardes om 'n stel van tydelike lêers. Dit is nuttig vir die hantering van waardes bevat nie-karakter data soos jpegPhoto of klank. 'N Tweede t skryf al opgespoor waardes lêers. - T Pad Skryf tydelike lêers te Gids wat deur pad (verstek: / var / tmp /) - F voorvoegsel URL voorvoegsel vir tydelike lêers. Standaard is lêer: // pad waar pad is / var / tmp / of gespesifiseerde met - T. - A Haal net eienskappe (geen waardes). Dit is handig wanneer jy wil net om te sien of 'n kenmerk teenwoordig is in 'n inskrywing is en is nie geïnteresseerd in die spesifieke waardes. Soek resultate vertoon in LDAP Data Interchange Format uiteengesit in LDIF (5). 'N Enkele - L beperk die uitset te LDIFv1. 'N Tweede-L versper kommentaar. 'N Derde-L versper druk van die LDIF weergawe. Die verstek is na 'n uitgebreide weergawe van LDIF gebruik. - S Skryf die inskrywings teruggekeer gebaseer op eienskap sorteer. Die verstek is nie om inskrywings te sorteer teruggekeer. As kenmerk is 'n nul-lengte string (), word die inskrywings gesorteer volgens die komponente van hul Distinguished Naam. Sien ldapsort (3) vir meer besonderhede. Let daarop dat ldapsearch gewoonlik druk uit inskrywings soos hulle ontvang. Die gebruik van die - S opsie nederlae hierdie gedrag, wat veroorsaak dat alle inskrywings te herwin, dan gesorteer, dan gedruk. - b searchbase Gebruik searchbase as die beginpunt vir die soeke in plaas van die standaard. s basis een sub kinders Spesifiseer die omvang van die soektog na een van basis wees. een. sub. of kinders om 'n basis voorwerp, een-vlak, substructuur, of kinders soektog te verfyn. Die verstek is sub. Let wel: kinders omvang vereis LDAPv3 ondergeskikte funksie uitbreiding. - A nooit altyd soek te vind Spesifiseer hoe aliasse dereferencing gedoen. Indien een van nooit. altyd. Soek . of vind om te spesifiseer dat aliasse nooit dereferenced, altyd dereferenced, dereferenced wanneer jy soek, of net dereferenced wanneer opspoor die basis voorwerp vir die soektog. Die verstek is om nooit dereference aliasse. l limiet wag op die meeste tyd limiet sekondes vir 'n soektog te voltooi. 'N tyd limiet van 0 (nul) of niemand beteken geen beperking. 'N tyd limiet van Max beteken die maksimum heelgetal toelaatbare deur die protokol. 'N bediener kan 'n maksimum limiet wat net die wortel gebruikers kan ignoreer lê. - z sizelimit by die meeste sizelimit inskrywings vir 'n soektog te haal. A sizelimit van 0 (nul) of niemand beteken geen beperking. A sizelimit van Max beteken die maksimum heelgetal toelaatbare deur die protokol. 'N bediener kan 'n maksimum sizelimit wat net die wortel gebruikers kan ignoreer lê. f lêer Lees 'n reeks van lyne van lêer. presterende een LDAP soeke na elke reël. In hierdie geval, is die filter gegee op die command line behandel as 'n patroon waar die eerste en enigste voorkoms van s vervang met 'n lyn van lêer. Enige ander voorkoms van die die karakter in die patroon sal beskou word as 'n fout. Waar dit verlang word dat die soektog filter sluit in 'n karakter, moet die karakter word geïnkripteer as 25 (sien RFC 4515). As die lêer is 'n enkele - karakter, dan is die lyne lees van standaard insette. ldapsearch sal verlaat wanneer die eerste nie-suksesvolle resultaat is terug, tensy - C gebruik. - M M Aktiveer bestuur DSA dit te beheer. - MM Maak beheer van kritieke belang. Gebruik eenvoudige verifikasie in plaas van SASL. - D Binddn Gebruik die Distinguished Naam binddn te bind aan die LDAP directory. Vir SASL bind, is die bediener na verwagting hierdie waarde te ignoreer. - W Prompt vir eenvoudige verifikasie. Dit word gebruik in plaas van die spesifiseer van die wagwoord op die command line. w passwd Gebruik passwd as die wagwoord vir 'n eenvoudige verifikasie. - y passwdfile Gebruik volledige inhoud van passwdfile as die wagwoord vir 'n eenvoudige verifikasie. - H Ldapuri Spesifiseer URI (s) met verwysing na die LDAP bediener (s) 'n lys van Uri, geskei deur spasies of kommas na verwagting eers die protokol / gasheer / hawe velde word toegelaat nie. As 'n uitsondering, indien geen gasheer / hawe gespesifiseer nie, maar 'n DN is, die DN word gebruik om te kyk die ooreenstemmende gasheer (s) met behulp van die DNS SRV rekords, volgens RFC 2782. Die DN moet 'n nie-leë reeks word van AVAS wie kenmerk tipe is DC (domein komponent), en moet ontsnap volgens RFC 2396. h ldaphost Spesifiseer 'n alternatiewe gasheer waarop die LDAP bediener loop. Afgekeur ten gunste van - H. p ldapport Spesifiseer 'n alternatiewe TCP-poort waar die LDAP bediener luister. Afgekeur ten gunste van - H. P 2 3 Spesifiseer die LDAP protokol weergawe gebruik. - e uitbr extparam - E uitbr extparam Spesifiseer algemene uitbreidings met - e en soek uitbreidings met - E. dui kritici. Algemene uitbreidings: Soek uitbreidings: - o opt optparam Spesifiseer algemene opsies. Algemene opsies: - O sekuriteit-eienskappe spesifiseer SASL sekuriteit eienskappe. - Ek Aktiveer SASL interaktiewe modus. gevra altyd. Standaard is om net vinnig as wat nodig is. Aktiveer SASL stille af. gevra nooit. Moenie omgekeerde DNS om SASL gasheer naam canonicalize. - U Authcid Spesifiseer die verifikasie ID vir SAGT bind. Die vorm van die ID is afhanklik van die werklike SASL meganisme gebruik. - R Gebied spesifiseer die gebied van verifikasie ID vir SAGT bind. Die vorm van die koninkryk is afhanklik van die werklike SASL meganisme gebruik. - X Authzid Spesifiseer die versoek magtiging ID vir SAGT bind. DN:: ltdistinguished namegt of u: authzid moet een van die volgende formate wees ltusernamegt - y meganiese Spesifiseer die SAGT meganisme om gebruik te word vir verifikasie. As sy nie gespesifiseer, sal die program die beste meganisme die bediener weet kies. - Z Z Uitgawe StartTLS (Transport Layer Security) verleng werking. As jy gebruik - ZZ. die opdrag sal die operasie benodig om suksesvol te wees. Uitvoer formaat Indien een of meer inskrywings gevind word, word elke inskrywing geskryf standaard uitset in LDAP Data Interchange Format of LDIF (5): As die t opsie gebruik, die URI van 'n tydelike lêer gebruik in die plek van die werklike waarde . As die opsie - A geskied, word net die attributename deel geskryf. Voorbeeld Die volgende opdrag: 'n aanvaarde deel boom soek (met behulp van die standaard soektog base en ander parameters omskryf in ldap. conf (5)) vir inskrywings met 'n van (NP) van Smith voer. Die algemene naam (GN), van (NP) en telefoonnommer waardes sal opgespoor word en gedruk op standaard uitset. Die uitset kan soos volg lyk asof twee inskrywings gevind: die opdrag: 'n aanvaarde deel boom soek met behulp van die standaard soektog basis vir inskrywings met rekening van XYZ voer. Die use vorm van die entrys DN sal uitvoer na die lyn wat die DN self, en die jpegPhoto en klank waardes bevat sal opgespoor word en geskryf om tydelike lêers. Die uitset kan lyk as een inskrywing met een waarde vir elke van die versoek eienskappe is gevind: Hierdie opdrag: sal 'n soek een-vlak by die ide vlak uit te voer vir alle inskrywings waarvan organisasienaam (o) begin begin met die Universiteit. Die naam en beskrywing organisasie kenmerk waardes sal opgespoor word en gedruk op standaard uitset, wat lei tot uitset soortgelyk aan hierdie: Diagnose afrit status is nul indien geen foute voorkom. Foute lei tot 'n nie-nul uitgang status en 'n diagnostiese boodskap geskryf standaard fout. Sien ook die skrywer Erkenning OpenLDAP sagteware is ontwikkel en in stand gehou deur die OpenLDAP Projek ltwww. openldap. org/ GT. OpenLDAP sagteware is afgelei van die Universiteit van Michigan LDAP 3.3 Release.
No comments:
Post a Comment