Zhrnutie príkazov OpenLDAP
- ldapsearch: Vyhľadávanie záznamov v adresárovom strome OpenLDAP.
- ldapadd: Pridáva záznamy v adresárovom strome cez formát LDIF.
- ldapdelete: Vymaže záznamy adresárskeho stromu OpenLDAP.
- ldapmodify: Upravte záznam adresárového stromu OpenLDAP.
- ldapwhoami: Overuje identitu používateľov OpenLDAP.
- ldapmodrdn: Hodnotí DN záznam v adresárskom strome OpenLDAP.
- ldapcompare: Určuje, či hodnota DN a špecifikovaný parameter patria do toho istého položky.
- ldappasswd: Upraviť používateľský záznam v adresárskom strome OpenLDAP na obnovenie hesla.
- slaptest: Overte súbor slapd.conf alebo adresár cn=Configuration.
- slapindex: Vytvára index adresárového stromu OpenLDAP na zvýšenie efektivity dotazov.
- slapcat: Konvertuje dáta na LDIF súbory pre OpenLDAP.
ldapadd príkaz
Možnosti | popis | -x | Vykonať jednoduchú autentifikáciu | -D | DN použité na viazanie servera | -h | Adresa adresárovej služby | -w | Viazať DN heslo | -f | Súbory, ktoré používajú LDIF súbory na sčítanie záznamov |
Najprv pripravíme súbor test.ldif s nasledujúcim príkazom:
Obsah je nasledovný:
dn: uid=xzz,ou=Users,dc=itsvse,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
homeDirectory: /home/itsvse_xzz
loginShell: /bin/bash
cn: xzz
uidNumber: 1000
gidNumber: 1000
sn: System Administrator
mail: xzz@itsvse.com
postalAddress: shanghai
mobile: 13788888888
Pridajte príkazy nasledovne:
Po zadaní hesla sa heslo úspešne pridá, ako je znázornené na obrázku nižšie:
Príkaz ldapModify
Príkaz ldapmodify je pevný a hlavne implementuje rôzne modifikačné funkcie prostredníctvom konfiguračných súborov.
Súbor demo.ldif je nasledovný, čo znamená, že parameter uidNumber používateľa uid=xzz je upravený.
Príkaz ldappasswd
ldappasswd otvorí spojenie s LDAP serverom a zmení vstupné heslo.
Možnosti | popis | -x | Vykonať jednoduchú autentifikáciu | -D | DN použité na viazanie servera | -w | Viazať DN heslo | -S | Zadajte heslo, keď sa na to vyzve | -s | Pass na nastavenie hesla na pass | -a | Prejsť nastaviť starý paswd na prechod | -A | Podnet nastavenie starého passwd | -H | odkazuje na server, ktorý má byť viazaný | -Ja | Použite metódu SASL session |
príkaz ldapsearch
LDAP vyhľadávací príkaz
[root@VM_0_9_centos ~]# ldapsearch -h
ldapsearch: option requires an argument -- 'h'
ldapsearch: unrecognized option -h
usage: ldapsearch [options] [filter [attributes...]]
where:
filter LDAP vyhľadávací filter kompatibilný s RFC 4515
Zoznam popisov atribútov oddelených medzerami
ktoré môžu zahŕňať:
1.1 Bez atribútov
* všetky používateľské atribúty
+ všetky prevádzkové atribúty
Možnosti vyhľadávania:
-a deref jedno z nikdy (predvolené), vždy, hľadať alebo nájsť
-A získava len názvy atribútov (bez hodnôt)
-b basedn base dn pre vyhľadávanie
-c režim nepretržitej prevádzky (nezastavujte sa pri chybách)
-E [!] <ext>[=<extparam>] rozšírenia vyhľadávania (! označuje kritickosť)
[!] domainScope (domain scope)
!dontUseCopy (Nepoužívajte Copy)
[!] mv=<filter> (filter zodpovedaných hodnôt RFC 3876)
[!] pr=<size>[/prompt|noprompt] (RFC 2696 stránkované výsledky/prompt)
[!] sss=[-]<attr[:OID]>[/[-]<attr[:OID]>...]
(RFC 2891 triedenie na strane servera)
[!] podheslá[=pravda|nepravda] (RFC 3672 podpoložky)
[!] sync=ro[/<cookie>] (RFC 4533 LDAP Sync refreshOnly)
rp[/<cookie>][/<slimit>] (refreshAndPersist)
[!] vlv=<before>/<after>(/<offset>/<count>|:<value>)
(ldapv3-vlv-09 virtuálne zoznamové zobrazenia)
[!] deref=derefAttr:attr[,...] [; derefAttr:attr[,...] [; ...]]
[!] <oid>[=:<b64value>] (všeobecné riadenie; bez spracovania odozvy)
-f operácie čítania súboru z 'súboru'
-F prefix URL prefix pre súbory (predvolené: file:///tmp/)
-l obmedzuje časový limit (v sekundách, alebo "žiadne" či "max") pre vyhľadávanie
-L tlač odpovedí vo formáte LDIFv1
-LL tlačí odpovede vo formáte LDIF bez komentárov
-LLL tlačí odpovede vo formáte LDIF bez komentárov
a verzia
-M povoliť Spravovať DSA IT riadenie (-MM pre nastavenie kritického)
-P verzia protokolovej verzie (predvolené: 3)
-s rozsah jeden základnej, jednej, podskupiny alebo detí (vyhľadávací rozsah)
-S attr triedi výsledky podľa atribútu 'attr'
-t zapisuje binárne hodnoty do súborov v dočasnom adresári
-tt zapíše všetky hodnoty do súborov v dočasnom adresári
-T path zapisujú súbory do adresára špecifikovaného cestou (predvolené: /tmp)
-u zahrňte používateľsky prívetivé názvy vstupov do výstupu
-z limit veľkosti (v záznamoch, alebo "žiadny" či "max") pre vyhľadávanie
Bežné možnosti:
-d úroveň nastavte LDAP úroveň ladenia na 'level'
-D binddn bind DN
-e [!] <ext>[=<extparam>] všeobecné rozšírenia (! označuje kritickosť)
[!] assert=<filter> (RFC 4528; RFC 4515 filtrový reťazec)
[!] authzid=<authzid> (RFC 4370; "dn:<dn>" alebo "u:<user>")
[!] Reťazenie[=<resolveBehavior>[/<continuationBehavior>]]
jeden z "chainingPreferred", "chainingRequired",
"odporúčaniaPreferované", "odporúčaniaPotrebné"
[!] manageDSAit (RFC 3296)
[!] Nie
Ppolicy
[!] postread[=<attrs>] (RFC 4527; zoznam attr oddelených čiarkami)
[!] preread[=<attrs>] (RFC 4527; zoznam attr oddelených čiarkami)
[!] uvoľni sa
[!] Sessiontracking
opustiť, zrušiť, ignorovať (SIGINT posiela opustenie/zrušenie,
alebo ignoruje reakciu; ak je to kritické, nečaká na SIGINT.
Nie sú to naozaj ovládacie prvky)
-h hostiteľský LDAP server
-H URI LDAP Uniform Resource Identifier(y)
-Používam interaktívny režim SASL
-Ukáž, čo by sa dalo robiť, ale v skutočnosti to nerob
-N nepoužívajte reverzné DNS na kanonizáciu hostiteľského mena SASL
-O props SASL bezpečnostné vlastnosti
-o <opt>[=<optparam>] všeobecné možnosti
nettimeout=<timeout> (v sekundách, alebo "žiadny" či "max")
ldif-wrap=<width> (v stĺpcoch, alebo "nie" pre žiadne obalenie)
-p port port na LDAP serveri
-Q použite SASL tichý režim
-R realm SASL realm
-U authcid SASL autentifikačná identita
-v beží v verboznom režime (diagnostika na štandardný výstup)
-Informácie o tlačovej verzii V (-len VV)
-w passwd viazanie hesla (pre jednoduchú autentifikáciu)
-W výzva na viazanie hesla
-x Jednoduchá autentifikácia
-X authzid SASL autorizačná identita ("dn:<dn>" alebo "u:<user>")
-y súbor Čítaj heslo zo súboru
-Y mech SASL mechanizmus
-Z Start TLS požiadavka (-ZZ vyžaduje úspešnú odpoveď)
Príkaz je nasledovný:
Výsledky dopytu sú nasledovné:
Dotazujte všetkých používateľov:
Vysvetlenie podstatného mena v LDAP
Objektová trieda
Objektová trieda LDAP je dátový model zabudovaný v LDAP. Každá objectClass má vlastnú dátovú štruktúru, napríklad máme objectClass nazvanú "Phone Book", ktorá určite obsahuje mnoho vstavaných atribútov, ako názov (uid), ID číslo (uidNumber), názov jednotky (gid), domácu adresu (homeDirectory) a podobne, zároveň existuje objectClass nazývaná "Classmate Record", ktorá má "phone book" Niektoré atribúty (ako uid, homeDirectory) budú mať aj atribúty, ktoré nie sú v "telefónnom zozname" (napríklad popis a pod.).
Vstup
Záznam možno nazývať záznam, záznam je záznam, základná pamäťová jednotka v LDAP; Dá sa tiež chápať ako súbor DN a súbor atribútov. Upozorňujeme, že záznam môže obsahovať viacero objektových tried, napríklad zhang3 môže existovať súčasne v "Telefónnom zozname" alebo v "Zázname spolužiaka".
DN
Distinguished Name, jedinečný rozlíšený názov záznamu v LDAP, úplný DN pravopis: uid=zhang3, ou=People, dc=163, dc=com. Iba záznam v LDAP je jedinečný pre LDAP server.
LDAP vyhľadávací filter
Použite filter na vyhľadávanie LDAP. Filter je zvyčajne zložený z jednotky ako (attribute=value), napríklad: (&(uid=ZHANGSAN)(objectclass=person)) označuje, že LDAP záznam vyhľadávacieho používateľa je ZHANGSAN. Ďalším príkladom je: (&(|( uid= ZHANGSAN)(uid=LISI))(objectclass=osoba)), čo znamená, že vyhľadávanie používateľa s vyhľadávacím ID je ZHANGSAN, alebo LISI; Môžete tiež použiť * na reprezentáciu ľubovoľnej hodnoty, napríklad (uid=ZHANG*SAN), a vyhľadávať položky s hodnotami uid začínajúcimi ZHANG a končiacimi na SAN. Navyše, podľa rôznych pravidiel porovnávania atribútov LDAP môže existovať Filter nasledovne: (&(createtimestamp>=20050301000000)(createtimestamp<=20050302000000)), ktorý naznačuje, že čas vytvorenia vyhľadávania je medzi 20050301000000 a 20050302000000.
Vo Filter znamená "&" "a"; “!” znamená "nie"; “|” znamená "alebo". V závislosti od pravidiel párovania môžeme použiť "=", "~=", ">=" a "<=".
Základný DN
Základná DN môže byť "dc=163,dc=com" alebo "dc=People,dc=163,dc=com". Keďže LDAP je stromová dátová štruktúra, vyhľadávanie začne od BaseDN po zadaní basedn a môžeme špecifikovať rozsah vyhľadávania ako: iba vyhľadávanie basedn (base), basedn priama podúroveň (jedna úroveň) a basedn všetky podstromové úrovne.
objectClass
V LDAP musí záznam obsahovať atribút objectClass a byť priradený aspoň jednej hodnote. Každá hodnota sa použije ako šablóna pre ukladanie dát pomocou LDAP záznamu; Šablóna obsahuje atribút, ktorému musí byť záznam priradený, a voliteľný atribút. objectClass má prísnu hierarchiu, pričom top a alias sú na vrchu. Napríklad trieda objectClass od organizationalPerson je podriadená osobe a osoba je podriadená vrcholu.
objectClass možno rozdeliť do nasledujúcich 3 kategórií:
Štrukturálne: ako osoba a organizáciaJednotka;
Pomocné: napríklad extensibeObject;
Abstrakt: Napríklad abstraktná trieda objectClass sa nedá použiť priamo.
V schéme OpenLDAP je definovaných mnoho objektových tried a názvy niektorých bežne používaných objektových tried sú uvedené nižšie.
- Účet
- Alias
- DCobject
- doména
- ipHost
- Organizácia
- organizačná úloha
- organizačná jednotka
- osoba
- organizačnáOsoba
- inetOrgPerson
- rezidenčná osoba
- posixAccount
- posixGroup
ObjectClass je zbierka atribútov a LDAP zapuzdrí mnoho bežných objektov v ľudských organizáciách a zapuzdrí ich do tried objektov. Napríklad personál zahŕňa priezvisko (sn), krstné meno (cn), telefónne číslo (telefónne číslo), heslo (userPassword) a ďalšie atribúty, a organizationalPerson je trieda dedičnej osoby, okrem vyššie uvedených atribútov zahŕňa aj titul, poštové smerovacie číslo (postalCode) a poštovú adresu (postalAddress) a ďalšie vlastnosti.
Typy položiek je možné jednoducho definovať pomocou tried objektov. Každý záznam môže priamo dediť viacero tried objektov, ktoré dedí rôzne vlastnosti. Ak existujú 2 triedy objektov s rovnakým atribútom, po zdedení záznamu zostane len jeden atribút. Trieda objektov tiež špecifikuje, ktoré vlastnosti sú základné informácie a musia obsahovať (Must Required): ktoré vlastnosti sú rozšírené informácie a môžu obsahovať (May alebo Optional).
Existujú tri typy tried objektov: štrukturálne, abstraktné a pomocné. Štrukturálne typy sú najzákladnejšie typy, ktoré špecifikujú základné vlastnosti tela objektu a každý záznam patrí a patrí len jednej štrukturálnej triede objektov. Abstraktné typy môžu byť štrukturálne typy alebo iné abstraktné typy rodičov, ktoré organizujú spoločné časti objektových vlastností dokopy, nazývané šablóny pre iné triedy, a záznamy nemôžu priamo integrovať abstraktné objektové triedy. Pomocný typ špecifikuje rozšírené vlastnosti objektovej entity. Hoci každý prúžok patrí len do jednej štrukturálnej triedy objektov, môže patriť do viacerých tried pomocných objektov súčasne.
Samotná trieda objektu sa môže navzájom dediť, takže koreňová trieda triedy objektu je najvyššia abstraktná trieda objektov. Ak vezmeme bežne používané typy ľudí ako príklad, ich dedičný vzťah je znázornený na obrázku:
Vstavané atribúty accoutu sú: userid, description, hostiteľ, localityName, organizationName, organizationalUnitName, seeAlso;
Vstavané atribúty inetOrgPerson sú cn, sn, description, seeAlso, telephoneNumber, userPassword, destinationIndicator, facsimileTelephoneNumber, internationaliSDNNumber, l, ou, physicalDeliveryOfficeName、postOfficeBox、postalAddress、postalCode、preferredDelivery Method、registeredAddress、st、street、telephoneNumber、teletexTerminal Identifier、 telexNumber、title、x121Adresa、audio、usinessCategory、carLicense、Department Number、is playName、employeeNumber、employeeType、employee、givenName、HomePhone、HomePostAddress、Domáca poštová adresa、iniciály、 jpegPhoto, labeledURI, mail, manager, mobile, o, pager, photo, preferredLanguage, roomNumber, secretary, uid, userCertificate, atď.;
Ako vidíte, accout prednastavuje len niekoľko nevyhnutných a užitočných atribútov (určite stačí na dokončenie overenia prihlásenia), zatiaľ čo inetOrgPerson má veľa zabudovaných atribútov, ako sú telefónne číslo, mobilné číslo, ulica, e-mailové číslo, e-mailová adresa, číslo izby, avatar, manažér, číslo zamestnanca a podobne.
Preto sa pri konfigurácii LDAP odporúča nastaviť typ objectClass na accout, ak je to len na overenie prihlásenia, a nastaviť objectClass na inetOrgPerson, ak chcete vytvoriť veľký a komplexný poklad informácií o zamestnancoch
Tu zvyčajne používam 'inetOrgPerson', 'posixAccount', 'shadowAccount'.
Požadované atribúty účtu sú userid, zatiaľ čo požadované atribúty posixAccount sú cn, gidNumber, homeDirectory, uid, uidNumber; Požadovaným atribútom shadowAccount je uid a voliteľné atribúty zahŕňajú shadowExpire, shadowInactive, shadowMax, shadowMin, userPassword a podobne. Najvyššia požadovaná vlastnosť je objectClass (je vidieť, že top a ostatné objectClassy sú dedičné vzťahy).
Atribút
Atribúty sú podobné premenným v programovaní a môžu byť priradené. Mnohé bežne používané atribúty sú deklarované v OpenLDAP (používatelia si môžu tiež definovať vlastné atribúty). Bežné významy atribútov sú nasledovné:
- c: Country.
- CN: Bežný názov, ktorý odkazuje na názov objektu. Ak sa vzťahuje na osobu, musí sa použiť celé meno.
- dc:domain komponent, často používaný na označenie časti doménového mena.
- givenName: označuje meno osoby, nie priezvisko.
- l: Odkazuje na názov miesta, napríklad názov mesta alebo inej geografickej oblasti.
- pošta: E-mailová adresa.
- o:organizationName, čo odkazuje na názov organizácie.
- ou:organizationalUnitName, čo odkazuje na názov organizačnej jednotky.
- sn: priezvisko, označuje priezvisko osoby.
- telefónne číslo: Telefónne číslo, ktoré by malo obsahovať kód krajiny, v ktorej sa nachádza.
Tip: objectClass je špeciálny atribút, ktorý obsahuje aj iné použité atribúty okrem seba samého.
Pre rôzne triedy objektov zvyčajne existujú niektoré požadované hodnoty vlastností a niektoré voliteľné hodnoty vlastností. Napríklad môžete použiť objektovú triedu osoby na reprezentáciu záznamu používateľa v systéme, pričom používateľ v systéme zvyčajne potrebuje mať nejaké informácie ako meno, telefónne číslo, heslo, popis a podobne. Ako je znázornené na obrázku nižšie, pre osobu nastavte meno a priezvisko používateľa pomocou cn a sn, čo je povinné, zatiaľ čo ostatné atribúty sú voliteľné.
Nasleduje zoznam niektorých bežne používaných požiadaviek na objektovú triedu, ktoré sú povinné.
- account:userid。
- organizácia:O。
- Osoba: CN a SN.
- organizačnáOsoba: To isté ako osoba.
- organizationalRole:cn。
- organizationUnit:ou。
- posixGroup:cn、gidNumber。
- posixAccount:cn、gidNumber、homeDirectory、uid、uidNumber。
(Koniec)
|
Zverejnené 23. 6. 2020 22:34:54
|
|
|
|
Zverejnené 19. 5. 2023 11:23:09