Come trovare LDAP usando esempi di ricerca LDAP

Di solito, un individuo o un dipendente che lavora in una grande azienda saprà come è LDAP su un server Openldap Linux o un controller di dominio Windows. Per la centralizzazione dell'autenticazione, LDAP è benefico. Man mano che la tua directory LDAP cresce, puoi trovare tutte le voci che potresti dover gestire quando arriva il momento. LDAPSEARCH è un comando che ti aiuta a trovare voci nell'albero della directory LDAP.

Questo tutorial spiegherà come è possibile trovare facilmente LDAP usando esempi di ricerca LDAP.

LDAPSEARCH

LDPSEARCH viene utilizzato per trovare voci sul backend del database LDAP. In questo, LDAPSEARCH si lega a un server LDAP, apre una connessione e contemporaneamente ricerche utilizzando i filtri. Secondo RFC 1558, un filtro LDAP deve essere conforme alla rappresentazione della stringa. Supponiamo che LDAPSEARCH recuperà gli attributi specificati da ATRS quando si trovano una o più voci. In tal caso, il valore esatto è standardizzato e stampare le voci sono sull'output. Se non vengono specificati attributi, restituisce tutti gli attributi.

Qui l'opzione -x viene utilizzata per specificare l'autenticazione semplice, l'opzione -u per output di informazioni intuitive, -b all'opzione di ricerca iniziale (base di ricerca).

Strumento di riga di comando LDAPSEARCH

La richiesta di ricerca specifica il file per contenere il filtro tramite argomenti della riga di comando, fornendo tutti gli argomenti tranne il filtro, fornendo direttamente tutti i dettagli, ecc. Un file che include URL LDAP e diversi attributi di interesse, come portata, DN e filtro, è specificato utilizzando la stessa sintassi.

La sua semplice sintassi è qualcosa del genere:

ldapsearch argoments filter [attr1 [attr2…]]

Ricerca LDAP con LDAPSEARCH

L'uso di LDAPSEARCH con l'opzione "-x" consente una semplice autenticazione. Specificare la base di ricerca con l'opzione "-b" consente una semplice scoperta LDAP. Se la ricerca non viene eseguita direttamente sul server LDAP, è necessario specificare l'opzione host con l'opzione "-h".

ldapsearch -x -b -h

Se hai un server OpenLDAP installato, funziona sull'host di rete. In questa condizione, se il tuo server accetta un'autenticazione anonima, eseguirai query di ricerca LDAP senza essere associato a un account amministratore.

Il client LDAP presuppone che tu voglia cercare l'intero albero della directory se non viene specificato alcun filtro. Visualizza le informazioni nella sua interezza.

Cerca LDAP con l'account amministratore
A volte le query LDAP possono essere eseguite come account amministratore per presentare ulteriori informazioni. Per raggiungere questo obiettivo, è necessario effettuare una richiesta di forza utilizzando il resoconto dell'amministratore dell'albero LDAP. È necessario eseguire la query "LDAPSEARCH" con "-D" per Bind DN e "-W" per la password per individuare LDAP per l'account amministrativo.

ldapsearch -x -h -h -d -w

Quando esegui una ricerca LDAP come amministratore, esegui la query sopra. Puoi essere esposto come account amministratore quando si esegue una ricerca LDAP con una password crittografata come utente. Dovresti anche assicurarti che la tua domanda sia eseguita privatamente.

Esecuzione di ricerche LDAP con filtri

Eseguire una semplice query di ricerca LDAP senza filtri è uno spreco di risorse e tempo. È possibile eseguire una query di ricerca LDAP per trovare oggetti specifici nell'albero della directory LDAP per evitarlo.

Aggiungi il filtro alla fine del comando LDAPSEARCH per cercare con il filtro della voce LDAP. Per questo, ‌Specificare il valore dell'oggetto a destra e il tipo di oggetto a sinistra. È possibile specificare facoltativamente attributi come password utente, nome utente, ecc., da restituire dall'oggetto.

LDAPSEARCH "(Object_Type) = (Object_Value)"

Alla ricerca di tutti gli oggetti nell'albero della directory
Per recuperare tutti gli oggetti nell'albero LDAP, specificare il carattere jolly "*" con il filtro "ObjectClass".

LDAPSEARCH -X -B -H -D -W "ObjectClass =*"

Presenta tutti gli attributi e tutti gli oggetti disponibili nell'albero al momento dell'esecuzione della query.

Trovare account utente con LDAPSEARCH
Tutti gli account utente su un albero della directory LDAP avranno la classe di oggetti strutturali "account" per impostazione predefinita. Ciò ti consente di restringerlo a tutti gli account utente.

LDAPSEARCH -X -B -H -D -w "ObjectClass = Account"

Per impostazione predefinita, le query restituiscono tutti gli attributi disponibili per la classe ‌Object. Puoi aggiungere attributi opzionali alla tua query restringendo la ricerca come hai già fatto. Dovrai eseguire la seguente ricerca LDAP se sei interessato solo alla tua home directory e all'utente UID, CN.

LDAPSEARCH -X -B -H -D -W "ObjectClass = Account" CN UID HomeDirectory

Esegui il comando sopra per eseguire una ricerca LDAP per selettori e filtri specifici corretti correttamente.

E operatore utilizzando LDAPSEARCH
Per separare tutti i filtri attraverso gli operatori "e", è necessario racchiudere un personaggio "&" all'inizio della query e tutte le condizioni tra parentesi.

LDAPSEARCH "(& () () ...)"

La seguente query trova tutte le voci che hanno "Ben" che equivale a "Y" e "X" che equivale a "Banks."

LDAPSEARCH "(& (ObjectClass = Banks) (y = ben))"

Dove x è uguale alla classe oggetto e y è simile a uid .

O operatore utilizzando LDAPSEARCH
Se è necessario separare più filtri, è possibile utilizzare l'operatore "o". Innanzitutto, includi un “|"Carattere all'inizio della query, insieme alle condizioni.

LDAPSEARCH "(| () () ...)"

Sarebbe meglio eseguire la query qui sotto per trovare tutte le voci con due diverse classi di oggetti di tipo "x" o tipo "y."

LDAPSEARCH "(| (x = banche) (y = jobrole))"

Dove xey sono due diverse classi ‌object .

Un filtro di negazione che utilizza LDAPSEARCH
Quando si dispone di un albero della directory LDAP e si desidera abbinare alcune voci al suo interno, è necessario racchiudere tra parentesi per separare le condizioni e anche racchiudere tutte le condizioni con "!" carattere.

LDAPSEARCH "(!() () ...) "

Ad esempio, se si desidera abbinare tutte le voci non avere un attributo "CN" di valore "John", scriveresti la seguente query.

Si esegue la seguente query quando è necessario abbinare tutte le voci che non hanno un attributo "x" del valore "Ben."

LDAPSEARCH "(!(X = ben)) "

Dove x è una condizione.

Utilizzo di LDAPSEARCH per trovare le configurazioni del server LDAP
Utilizzando il comando LDAPSEARCH, è possibile recuperare la configurazione dell'albero LDAP. Sai anche che un oggetto di configurazione globale è nella parte superiore della gerarchia LDAP se si sa di OpenLDAP.

A volte, come la modifica della password dell'amministratore radicale o la modifica del controllo di accesso, guarda le funzionalità della configurazione LDAP.

Per individuare le configurazioni LDAP, specificare "CN = config" come base di ricerca nel comando "LDAPSEARCH". Si noti che è necessario specificare l'opzione "-y", oltre a specificare "esterno" come meccanismo di autenticazione per questo scoperta.

ldapsearch -y esterno -h ldapi: /// -b cn = config

Nota: È necessario eseguire il comando sopra sul server, non sul tuo client LDAP.

Il comportamento predefinito di questo comando è restituire molti risultati, inclusi backend, schemi e moduli.

Se si desidera limitare la tua ricerca alla configurazione del database, è possibile specificare la classe Object "OlCDataBaseConfig" con LDAPSEARCH.

ldapsearch -y esterno -h ldapi: /// -b cn = config "(objectclass = olcdatabaseconfig)"

LDAP cerca con jolly
Oltre ai caratteri jolly, puoi anche usare asterischi ("*") per cercare tramite voci LDAP.

Il personaggio jolly funziona allo stesso modo in cui utilizza un asterisco in un regex. Corrisponde a qualsiasi attributo che termina o inizia con un ‌substring.

ldapsearch "(object_type) =*(object_value)"
ldapsearch "(object_type) = (object_value)*"

Ogni volta che trovi una voce con l'attributo "Q" che inizia con la lettera "D", esegui il comando seguente.

LDAPSEARCH "X = D*"

Dove x è uguale a uid.

Opzioni avanzate LDAPSEARCH

Finora, hai visto alcuni aspetti essenziali delle opzioni LDAPSEARCH, ma a parte questo, ci sono alcune opzioni avanzate, puoi usare:

Filtri di corrispondenza estensibile LDAP
È possibile utilizzare filtri di abbinamento LDAP estensibili per potenziare alcuni degli operatori esistenti che si desidera rappresentare, come gli operatori di uguaglianza.

Un operatore predefinito sovralimentato
Per sovraccaricare un operatore LDAP, utilizzare la sintassi “: =”.

LDAPSEARCH ": ="

Se vuoi trovare tutte le voci in cui "X" è uguale a "Ben", devi eseguire il comando seguente.

LDAPSEARCH "X: = Ben"

Il comando sopra è come quello seguente.

LDAPSEARCH "X = Ben"

Dove "x" è uguale alle condizioni.

Eseguire una ricerca su "Ben" e "Ben" ti darà lo stesso risultato. Di conseguenza, puoi essere sensibile ai risultati della ricerca limitandoli alla corrispondenza esatta "Ben."

È possibile separare i filtri con caratteri ":" utilizzando LDAPSEARCH.

LDAPSEARCH "::: ="

È possibile eseguire una ricerca sensibile al caso eseguendo il comando seguente.

LDAPSEARCH "X: CasexActMatch: = Ben"

Conclusione

Questo è come cercare nell'albero della directory LDAP usando il comando LDAPSEARCH. È possibile sovraccaricare gli operatori esistenti specificando un operatore personalizzato o utilizzando opzioni di abbinamento estensibili. Ti abbiamo fornito informazioni complete tramite esempi di comandi LDAPSEARCH one-by-uno dalla nostra parte. Speriamo che tu possa risolvere completamente le tue domande attraverso questo articolo e risolverai il problema.