Comment trouver LDAP à l'aide d'exemples de recherche LDAP

Comment trouver LDAP à l'aide d'exemples de recherche LDAP
Habituellement, un individu ou un employé travaillant dans une grande entreprise saura comment se trouve LDAP sur un serveur Linux OpenLDAP ou un contrôleur de domaine Windows. Pour centraliser l'authentification, LDAP est bénéfique. À mesure que votre répertoire LDAP se développe, vous pouvez trouver toutes les entrées que vous devrez peut-être gérer le moment venu. LDAPSearch est une commande qui vous aide à trouver des entrées dans l'arborescence du répertoire LDAP.

Ce tutoriel expliquera comment vous pouvez facilement trouver LDAP à l'aide d'exemples de recherche LDAP.

Ldapsearch

LDPSearch est utilisé pour trouver des entrées sur le backend de la base de données LDAP. En cela, LDAPSearch se lie à un serveur LDAP, ouvre une connexion et recherche simultanément à l'aide de filtres. Selon RFC 1558, un filtre LDAP doit être conforme à la représentation des chaînes. Supposons que LDAPSEARCcher récupère les attributs spécifiés par Attrs lorsqu'une ou plusieurs entrées sont trouvées. Dans ce cas, la valeur exacte est standardisée et imprimer les entrées sont sur la sortie. Si aucun attribution n'est spécifié, il renvoie tous les attributs.

Ici, l'option -x est utilisée pour spécifier une authentification simple, l'option -u pour produire des informations conviviales, -b au point de recherche initial (base de recherche).

Outil de ligne de commande lDapsearch

La demande de recherche spécifie le fichier pour contenir le filtre via des arguments de ligne de commande, fournissant tous les arguments à l'exception du filtre, fournissant tous les détails directement, etc. Un fichier qui comprend des URL LDAP et plusieurs attributs d'intérêt, tels que la portée, le DN et le filtre, est spécifié en utilisant la même syntaxe.

Sa syntaxe simple est quelque chose comme ceci:

ldapsearch arguments filter [att1 [att2…]]

Recherche LDAP avec ldapsearch

L'utilisation de LDAPSearch avec l'option «-x» permet une authentification simple. La spécification de la base de recherche avec l'option «-b» permet une simple découverte LDAP. Si la recherche ne s'exécute pas directement sur le serveur LDAP, vous devez spécifier l'hôte avec l'option «-H».

ldapsearch -x -b -h

Si un serveur OpenLDAP est installé, il s'exécute sur votre hôte réseau. Dans cette condition, si votre serveur accepte l'authentification anonyme, vous effectuerez des requêtes de recherche LDAP sans être lié à un compte administrateur.

Le client LDAP suppose que vous souhaitez rechercher l'ensemble de l'arborescence du répertoire si aucun filtre n'est spécifié. Il affiche les informations dans son intégralité.

Recherchez LDAP avec le compte d'administration
Parfois, les requêtes LDAP peuvent être exécutées en tant que compte administrateur pour présenter des informations supplémentaires. Pour y parvenir, vous devez faire une demande de force en utilisant le compte de l'administrateur de l'arbre LDAP. Il est nécessaire d'exécuter la requête «LDAPSearch» avec «-d» pour le DN Bind.

ldapsearch -x -b -h -d -w

Lorsque vous effectuez une recherche LDAP en tant qu'administrateur, exécutez la requête ci-dessus. Vous pouvez être exposé en tant que compte d'administrateur lors de l'exécution d'une recherche LDAP avec un mot de passe crypté en tant qu'utilisateur. Vous devez également vous assurer que votre requête est exécutée en privé.

Exécuter des recherches LDAP avec des filtres

Exécuter une simple requête de recherche LDAP sans filtres est une perte de ressources et de temps. Vous pouvez exécuter une requête de recherche LDAP pour trouver des objets spécifiques dans l'arborescence du répertoire LDAP pour éviter cela.

Ajoutez votre filtre à la fin de la commande LDAPSearch pour rechercher avec le filtre d'entrée LDAP. Pour cela, spécifiez la valeur de l'objet à droite et le type d'objet à gauche. Vous pouvez éventuellement spécifier des attributs tels que le mot de passe utilisateur, le nom d'utilisateur, etc., être retourné de l'objet.

ldapsearch "(object_type) = (object_value)"

Recherche de tous les objets de l'arbre de répertoire
Pour récupérer tous les objets de l'arbre LDAP, spécifiez le caractère de caractère générique «*» avec le filtre «ObjectClass».

ldapsearch -x -b -h -d -w "objectClass = *"

Il présente tous les attributs et tous les objets disponibles dans l'arbre au moment de l'exécution de la requête.

Trouver des comptes d'utilisateurs avec LDAPSEarch
Tous les comptes d'utilisateurs sur une arborescence de répertoire LDAP auront la classe d'objets structurels «compte» par défaut. Cela vous permet de le réduire à tous les comptes d'utilisateurs.

ldapsearch -x -b -h -d -w "objetClass = compte"

Par défaut, les requêtes renvoient tous les attributs disponibles pour la classe ‌Object. Vous pouvez ajouter des attributs facultatifs à votre requête en rétrécissant la recherche comme vous l'avez déjà fait. Vous devrez exécuter la recherche LDAP suivante si vous n'êtes intéressé que par votre répertoire personnel et l'utilisateur UID, CN.

ldapsearch -x -b -h -d -w "objetclass = compte" cn uid homedirectory

Exécutez la commande ci-dessus pour effectuer une recherche LDAP pour des sélecteurs et des filtres spécifiques.

Et l'opérateur utilisant LDAPSECH
Pour séparer tous les filtres via les opérateurs «et», vous devez enfermer un caractère «&» au début de la requête et toutes les conditions entre parenthèses.

ldapsearch "(& () ()…)"

La requête suivante trouve toutes les entrées qui ont «ben» qui équivaut à «y» et «x» qui équivaut à «Banques."

ldapsearch "(& (objectClass = Banks) (y = ben))"

Où x est égal à la classe d'objets et y est similaire à l'UID .

Ou opérateur à l'aide de LDAPSEARCH
Si vous devez séparer plusieurs filtres, vous pouvez utiliser l'opérateur «ou». Tout d'abord, incluez un «|”Caractère au début de la requête, ainsi que les conditions.

ldapsearch "(| () ()…)"

Il serait préférable d'exécuter la requête ci-dessous pour trouver toutes les entrées avec deux classes d'objets différentes de type «x» ou type «y."

ldapsearch "(| (x = banques) (y = jobrole))"

Où x et y sont deux classes ‌Object différentes .

Un filtre de négation utilisant LDAPSECH
Lorsque vous avez un arbre d'annuaire LDAP et que vous souhaitez faire correspondre certaines entrées à l'intérieur, vous devez enfermer les parenthèses pour séparer les conditions et également joindre toutes vos conditions avec un "!" personnage.

ldapsearch "(!() ()…) "

Par exemple, si vous souhaitez faire correspondre toutes les entrées n'ayant pas d'attribut «CN» de valeur «John», vous écririez la requête suivante.

Vous exécutez la requête suivante lorsque vous devez faire correspondre toutes les entrées sans avoir d'attribut «x» de la valeur «Ben."

ldapsearch "(!(X = ben)) "

Où x est une condition.

Utilisation de LDAPSearch pour trouver des configurations de serveur LDAP
À l'aide de la commande LDAPSEARCH, vous pouvez récupérer la configuration de l'arborescence LDAP. Vous savez également qu'un objet de configuration global est en haut de la hiérarchie LDAP si vous connaissez OpenLDAP.

Parfois, comme modifier le mot de passe de l'administrateur racine ou modifier le contrôle d'accès, consultez les fonctionnalités de votre configuration LDAP.

Pour localiser les configurations LDAP, spécifiez «CN = config» comme base de recherche dans la commande «ldapsearch». Notez que vous devez spécifier l'option «-y», en plus de spécifier «externe» comme mécanisme d'authentification pour cette découverte.

ldapsearch -y external -h ldapi: /// -b cn = config

Note: Vous devez exécuter la commande ci-dessus sur le serveur, pas sur votre client LDAP.

Le comportement par défaut de cette commande consiste à renvoyer de nombreux résultats, y compris des backends, des schémas et des modules.

Si vous souhaitez limiter votre recherche à la configuration de la base de données, vous pouvez spécifier la classe d'objets «OlcDatabaseConfig» avec LDAPSECH.

ldapsearch -y external -h ldapi: /// -b cn = config "(objectClass = olcDatabaseConfig)"

Recherches LDAP avec des caractères génériques
Outre les caractères génériques, vous pouvez également utiliser des astérisques («*») pour rechercher dans les entrées LDAP.

Le caractère générique fonctionne de la même manière qu'il utilise un astérisque dans un regex. Il correspond à tout attribut qui se termine par ou commence par un ‌ suit.

ldapsearch "(object_type) = * (object_value)"
ldapsearch "(object_type) = (object_value) *"

Chaque fois que vous trouvez une entrée avec l'attribut «Q» commençant par la lettre «D», exécutez la commande suivante.

ldapsearch "x = d *"

Où x est égal à l'UID.

Options avancées LDAPSEarch

Jusqu'à présent, vous avez vu certains aspects essentiels des options LDAPSEarch, mais à part cela, il existe des options avancées ‌ Vous pouvez utiliser:

Filtres de match extensible LDAP
Vous pouvez utiliser des filtres de correspondance LDAP extensibles pour suralimenter certains des opérateurs existants que vous souhaitez représenter, comme les opérateurs d'égalité.

Un opérateur par défaut suralimenté
Pour suralimenter un opérateur LDAP, utilisez la syntaxe «: =».

ldapsearch ": ="

Si vous voulez trouver toutes les entrées où «x» est égal à «ben», vous devez exécuter la commande suivante.

ldapsearch "x: = ben"

La commande ci-dessus est comme la suivante.

ldapsearch "x = ben"

Où «x» est égal aux conditions.

Exécuter une recherche sur «Ben» et «Ben» vous donnera le même résultat. En conséquence, vous pouvez être sensible à vos résultats de recherche en les limitant à la correspondance exacte «Ben."

Vous pouvez séparer les filtres avec des caractères «:» utilisant LDAPSECH.

ldapsearch "::: ="

Vous pouvez effectuer une recherche sensible à la casse en exécutant la commande suivante.

ldapsearch "x: CASEEXACTMATCH: = ben"

Conclusion

C'est comment rechercher l'arborescence du répertoire LDAP à l'aide de la commande LDAPSECHR. Vous pouvez suralimenter les opérateurs existants en spécifiant un opérateur personnalisé ou en utilisant des options de correspondance extensibles. Nous vous avons fourni des informations complètes via des exemples de commande LDAPSEARCH un par un de notre côté. Nous espérons que vous révèlerez complètement vos questions à travers cet article et résoudre le problème.