Cómo encontrar LDAP usando ejemplos de búsqueda LDAP

Por lo general, un individuo o un empleado que trabaja en una gran empresa sabrá cómo LDAP está en un servidor Linux OpenLDAP o controlador de dominio de Windows. Para centralizar la autenticación, LDAP es beneficioso. A medida que su directorio LDAP crece, puede encontrar todas las entradas que puede administrar cuando llegue el momento. LDAPSEARCH es un comando que lo ayuda a encontrar entradas en el árbol de directorio LDAP.

Este tutorial explicará cómo puede encontrar fácilmente LDAP usando ejemplos de búsqueda LDAP.

Ldapsearch

LDPSearch se utiliza para encontrar entradas en el backend de la base de datos LDAP. En esto, LDAPSearch se une a un servidor LDAP, abre una conexión y busca simultáneamente utilizando filtros. Según RFC 1558, un filtro LDAP debe cumplir con la representación de la cadena. Supongamos que LDAPSEARCH recupera los atributos especificados por ATTRS cuando se encuentran una o más entradas. En ese caso, el valor exacto está estandarizado e imprima las entradas están en la salida. Si no se especifican atributos, devuelve todos los atributos.

Aquí la opción -x se usa para especificar una autenticación simple, la opción -U para obtener información fácil de usar, -b opción al punto de búsqueda inicial (base de búsqueda).

Herramienta de línea de comandos de Ldapsearch

La solicitud de búsqueda especifica que el archivo contenga el filtro a través de argumentos de línea de comandos, proporcionando todos los argumentos, excepto el filtro, proporcionando todos los detalles directamente, etc. Se especifica un archivo que incluye URL LDAP y varios atributos de interés, como alcance, DN y filtro, utilizando la misma sintaxis.

Su simple sintaxis es algo como esto:

ldapsearch argumentos filtro [attr1 [attr2 ...]]

Búsqueda de LDAP con LDAPSEARCH

El uso de ldapsearch con la opción "-x" permite una autenticación simple. La especificación de la base de búsqueda con la opción "-B" permite un descubrimiento LDAP simple. Si la búsqueda no se ejecuta directamente en el servidor LDAP, debe especificar el host con la opción "-h".

ldapsearch -x -b -h

Si tiene algún servidor OpenLDAP instalado, se ejecuta en su host de red. En esta condición, si su servidor acepta la autenticación anónima, realizará consultas de búsqueda LDAP sin estar vinculado a una cuenta de administrador.

El cliente LDAP asume que desea buscar en todo el árbol de directorio si no se especifica ningún filtro. Muestra la información en su totalidad.

Buscar LDAP con la cuenta de administrador
A veces, las consultas LDAP se pueden ejecutar como la cuenta de administrador para presentar información adicional. Para lograr esto, debe hacer una solicitud de fuerza utilizando la cuenta del administrador del árbol LDAP. Es necesario ejecutar la consulta "LDAPSEARCH" con "-D" para el enlace DN y "-W" para la contraseña para localizar LDAP para la cuenta administrativa.

ldapsearch -x -b -h -d -w

Cuando realice una búsqueda LDAP como su administrador, ejecute la consulta anterior. Puede ser expuesto como una cuenta de administrador al ejecutar una búsqueda LDAP con una contraseña encriptada como usuario. También debe asegurarse de que su consulta se ejecute en privado.

Ejecutando búsquedas LDAP con filtros

Ejecutar una consulta de búsqueda LDAP simple sin filtros es una pérdida de recursos y tiempo. Puede ejecutar una consulta de búsqueda LDAP para encontrar objetos específicos en el árbol de directorio LDAP para evitar esto.

Agregue su filtro al final del comando ldapsearch para buscar con el filtro de entrada LDAP. Para esto, ‌Pecifique el valor del objeto a la derecha y el tipo de objeto a la izquierda. Opcionalmente, puede especificar atributos como contraseña de usuario, nombre de usuario, etc., para ser devuelto del objeto.

ldapsearch "(object_type) = (object_value)"

Buscando todos los objetos en el árbol de directorio
Para recuperar todos los objetos en el árbol LDAP, especifique el carácter comodín "*" con el filtro "ObjectClass".

ldapsearch -x -b -h -d -w "objectClass =*"

Presenta todos los atributos y todos los objetos disponibles en el árbol al momento de ejecutar la consulta.

Encontrar cuentas de usuario con Ldapsearch
Todas las cuentas de los usuarios en un árbol de directorio LDAP tendrán la clase de objetos estructurales de "cuenta" de forma predeterminada. Esto le permite reducirlo a todas las cuentas de usuario.

ldapsearch -x -b -h -d -w "objectClass = cuenta"

Por defecto, las consultas devuelven todos los atributos disponibles para la clase ‌Object. Puede agregar atributos opcionales a su consulta reduciendo la búsqueda como ya lo ha hecho. Deberá ejecutar la siguiente búsqueda LDAP si solo está interesado en su directorio de inicio y en el usuario de UID, CN CN.

ldapsearch -x -b -h -d -w "objectClass = cuenta" cn uid homedirectory

Ejecute el comando anterior para realizar una búsqueda LDAP para selectores y filtros específicos con éxito.

Y operador usando ldapsearch
Para separar todos los filtros a través de los operadores "y", debe encerrar un carácter de "&" al comienzo de la consulta y todas las condiciones entre paréntesis.

ldapsearch "(& () () ...)"

La siguiente consulta encuentra todas las entradas que tienen "Ben" que equivalen a "Y" y "X" que equivalen a "bancos."

ldapsearch "(& (objectClass = banks) (y = ben))"

Donde x es igual a la clase de objetos y y es similar a UID .

U operador usando ldapsearch
Si necesita separar múltiples filtros, puede usar el operador "o". Primero, incluya un "|"Carácter al comienzo de la consulta, junto con las condiciones.

ldapsearch "(| () () ...)"

Sería mejor ejecutar la consulta a continuación para encontrar todas las entradas con dos clases de objetos diferentes de tipo "x" o escribir "y."

ldapsearch "(| (x = bancos) (y = jobrole))"

Donde x e y son dos clases ‌object diferentes .

Un filtro de negación usando ldapsearch
Cuando tiene un árbol de directorio LDAP y desea que coincida con algunas entradas dentro de él, debe encerrar paréntesis para separar condiciones y también encerrar todas sus condiciones con un "!" personaje.

ldapsearch "(!() () ...) "

Por ejemplo, si desea que coincidan con todas las entradas que no tienen un atributo "CN" de valor "John", escribiría la siguiente consulta.

Ejecuta la siguiente consulta cuando necesite hacer coincidir todas las entradas que no tienen un atributo "X" del valor "Ben."

ldapsearch "(!(X = ben)) "

Donde x es una condición.

Uso de LDAPSEARCH para encontrar configuraciones de servidor LDAP
Usando el comando ldapsearch, puede recuperar la configuración del árbol LDAP. También sabe que un objeto de configuración global está en la parte superior de la jerarquía LDAP si sabe sobre OpenLDAP.

A veces, como modificar la contraseña de administrador raíz o cambiar el control de acceso, mire las características de su configuración LDAP.

Para ubicar las configuraciones LDAP, especifique "CN = config" como la base de búsqueda en el comando "LDAPSEARCH". Tenga en cuenta que debe especificar la opción "-y", además de especificar "externo" como el mecanismo de autenticación para que este descubrimiento se ejecute.

ldapsearch -y externo -h ldapi: /// -b cn = config

Nota: Debe ejecutar el comando anterior en el servidor, no en su cliente LDAP.

El comportamiento predeterminado de este comando es devolver muchos resultados, incluidos backends, esquemas y módulos.

Si desea limitar su búsqueda a la configuración de la base de datos, puede especificar la clase de objeto "olcdatabaseconfig" con ldapsearch.

ldapsearch -y externo -h ldapi: /// -b cn = config "(objectClass = olcdatabaseconfig)"

Búsquedas LDAP con comodines
Además de los comodines, también puede usar asteriscos ("*") para buscar en las entradas LDAP.

El personaje comodín funciona de la misma manera que usa un asterisco en una regex. Coincide con cualquier atributo que termine o comience con un ‌substring.

ldapsearch "(object_type) =*(object_value)"
ldapsearch "(object_type) = (object_value)*"

Siempre que encuentre una entrada con el atributo "Q" que comienza con la letra "D", ejecute el siguiente comando.

ldapsearch "x = d*"

Donde x es igual a uid.

Opciones avanzadas de Ldapsearch

Hasta ahora, ha visto algunos aspectos esenciales de las opciones de LdapSearch, pero aparte de esto, hay algunas opciones avanzadas ‌ Usted puede usar:

LDAP Filtros de coincidencia extensible
Puede usar filtros de coincidencia LDAP extensibles para sobrealimentar algunos de los operadores existentes que desea representar, como los operadores de igualdad.

Un operador predeterminado sobrealimentado
Para sobrealimentar un operador LDAP, use la sintaxis ": =".

ldapsearch ": ="

Si desea encontrar todas las entradas donde "X" es igual a "Ben", debe ejecutar el siguiente comando.

ldapsearch "x: = ben"

El comando anterior es como el siguiente.

ldapsearch "x = ben"

Donde "x" es igual a las condiciones.

Ejecutar una búsqueda en "Ben" y "Ben" le dará el mismo resultado. Como resultado, puede ser sensible a los resultados de su búsqueda limitándolos a la coincidencia exacta "Ben."

Puede separar los filtros con caracteres ":" usando ldapsearch.

ldapsearch "::: ="

Puede realizar una búsqueda confidencial de mayúsculas y estuches ejecutando el siguiente comando.

ldapsearch "X: CaseAxactMatch: = ben"

Conclusión

Así es como buscar el árbol de directorio LDAP usando el comando ldapsearch. Puede sobrealimentar a los operadores existentes especificando un operador personalizado o utilizando opciones de coincidencia extensible. Le hemos proporcionado información completa a través de ejemplos de comando LDAPSearch uno por uno de nuestro lado. Esperamos que resuelva sus preguntas por completo a través de este artículo y resuelva el problema.