Série: Ferramentas para Gerenciamento de Ambientes Windows e Linux - Parte 17 (Ferramentas Unix para Gerenciar ldap / AD)

  • Article

 

ldapsearch

A ferramenta ldapsearch é uma ferramenta de linha de comando nativa UNIX usada para procurar e exibir atributos de objetos do Active Directory. (Veja também a seção “Ferramentas de Pesquisa e Atualização do Serviço de Diretório do Windows”.) A ferramenta utiliza muitos parâmetros, incluindo aqueles que especificam o servidor Active Directory para contato, o usuário Proxy utilizado para tentar se conectar, e o tipo de dado a ser recuperado (um usuário específico ou grupo de usuários, por exemplo). No contexto deste guia, os mais úteis dos parâmetros ldapsearch são:

· -x. Usa autenticação simples. Este parâmetro só é usado em Linux e versões de código aberto do ldapsearch.

· -h. O host do qual se recuperam dados (o servidor Active Directory).

· -D. O nome do domínio de usuário cujas credenciais são usadas para ligação com o servidor Active Directory.

· -w. A senha do usuário de ligação. Se não especificada no comando, o programa providenciará um aviso.

· -n. O nome de base (DN) distinto no qual se buscam objetos.

· -s. O escopo de busca. As opções são sub, one, e base.

Nota: Parâmetros de linha de comando para ferramentas UNIX diferenciam maiúsculas e minúsculas.

Os parâmetros são seguidos por um filtro de busca e, opcionalmente, uma lista de atributos a recuperar para os usuários compatíveis com o filtro de busca. Alguns filtros úteis incluem:

· Retorna todos os objetos cujo cn (nome de conta) começa com "test": '(cn=test*)'

· Retorna todos os objetos do usuário objectClass cujo sAMAccountName começa com "test":' (&(objectclass=User)(sAMAccountName=test*))'

· Retorna todos os objetos cujo whose servicePrincipalName começa com "host" e exibe o servicePrincipalName, sAMAccountName e userPrincipalName: '(servicePrincipalName=host*)' servicePrincipalName sAMAccountName userPrincipalName

· Retorna os atributos sAMAccountName, msSFU30Password, msSFU30UidNumber, msSFU30GidNumber, msSFU30HomeDirectory, e msSFU30LoginShell para os usuários cujos números uid começam com "123" e cujos nomes de conta começam com "test”:

'(&(msSFU30UidNumber =123*)(sAMAccountName=test*))' sAMAccountName msSFU30Password msSFU30UidNumber msSFU30GidNumber cn msSFU30HomeDirectory msSFU30LoginShell

A sintaxe do comando ldapsearch varia por plataforma. O comando ldapsearch é útil para determinar se uma conexão pode ser feita para LDAP a um servidor Active Directory específico, se uma ligação pode ser realizada com sucesso para um dado usuário Proxy, e se um dado grupo de dados pode ser recuperado. O comando ldapsearch NÃO é útil para validar configurações LDAP no cliente UNIX porque toda a informação de contato (por exemplo, o servidor para contatar e o usuário Proxy) é especificada como parte do comando.

A amostra de comando ldapsearch que segue faz uma solicitação ao diretório no servidor Active Directory com endereço IP 10.9.8.1 com base dn ou=unix,dc=example,dc=com para retornar todos os atributos para usuários cujo cn (nome de conta) começa com "test".

ldapsearch -h 10.9.8.1 -D cn=aduser,cn=users,dc=example,dc=com -w Password1 –b ou=unix,dc=example,dc=com -s sub '(cn=test*)'

 

Nota1:    Nesse exemplo, o banco de dados Active Directory é acessado como usuário aduser com senha Password1. 

Nota2: O comando ldapsearch não lê os arquivos de configuração ldap.