ldapsearch

Формат

Описание

ldapsearch - это интерфейс командной строки к API ldap_search.

ldapsearch открывает соединение с сервером LDAP, подключается к нему и выполняет поиск с помощью фильтра. Фильтр должен быть указан в строковом формате фильтров LDAP (дополнительная информация о фильтрах приведена в описании API ldap_search в разделе API сервера каталогов).

Если утилита ldapsearch найдет одну или несколько записей, то значения указанных атрибутов этих записей будут переданы в стандартный поток вывода. Если атрибуты не указаны, то возвращаются все атрибуты.

Для просмотра справки по синтаксису команды ldapsearch введите ldapsearch -?.

Опции

-a преобразование

Задает способ преобразования псевдонимов. Параметр Преобразование может принимать значения never, always, search и find, указывающие, соответственно, что псевдонимы не преобразуются, преобразуются всегда, преобразуются при поиске, либо преобразуются только при определении базового объекта для поиска. По умолчанию псевдонимы не преобразуются.

-A

Получить только атрибуты (без значений). Эта опция применяется в случае, если нужно проверить наличие атрибутов в записи.

-b база-поиска

База-поиска позволяет переопределить заданную по умолчанию начальную точку поиска. Если опция -b не указана, то утилита получает определение базы поиска из переменной среды LDAP_BASEDN. Если и это значение не задано, то применяется база по умолчанию "".

-B

Не подавлять вывод значений, отличных от ASCII. Эта опция применяется при работе со значениями, использующими другие наборы символов, например, ISO-8859.1. Эта опция неявно задается, если указана опция -L.

-c шаблон

Выполняет постоянный поиск. Формат шаблона должен быть ps:тип-изменения[:changesOnly[:entryChangeControls]], где тип-изменения - add, delete, modify, moddn или any. Параметры changesOnly и entryChangeControls имеют тип Boolean и могут принимать значение TRUE или FALSE.

Прим.: Когда значение параметра учета псевдонимов равно 'find', требуется преобразование только объекта базы поиска, если он указан псевдонимом. Это означает, что в случае одноуровневого поиска или поиска по поддереву подчиненные записи о псевдонимах ниже базы не преобразуются. Однако если при выполнении постоянного поиска (то есть поиска, возвращающего измененные записи) найденные записи оказываются псевдонимами, они преобразуются, несмотря на то что являются починенными объектами базы поиска.

-C набор-символов

Указывает, что входные данные для утилиты ldapsearch заданы в локальном наборе символов. Входные данные включают в себя фильтр, DN-подключения и базовое DN. Аналогичным образом утилита ldapsearch преобразует полученные от сервера LDAP данные в указанный набор символов. Опцию -C набор-символов следует применять в том случае, если кодовая страница входных данных отличается от кодовой страницы задания. Список поддерживаемых значений кодовых страниц приведен в описании API ldap_set_iconv_local_charset(). Кроме того, если указаны опции -C и -L, то считается, что входные данные заданы в указанном наборе символов, но при наличии в выводе непечатаемых символов вывод утилиты ldapsearch должен быть сохранен в кодировке UTF-8 или base-64. Поддержка такого требования связана с тем фактом, что стандартные файлы LDIF содержат только строковые данные в формате UTF-8 (или UTF-8 с кодировкой base-64 64). Обратите внимание, что поддерживаемые значения наборов символов совпадают со значениями, поддерживаемыми необязательным тегом charset, определенным в файлах LDIF версии 1.

-d уровень-отладки

Устанавливает указанный уровень отладки LDAP.

-D dn-подключения

DN-подключения применяется для подключения к каталогу LDAP. dn-подключения задается в виде строки (см. раздел Отличительные имена LDAP). При использовании с -m DIGEST-MD5 оно задает ИД предоставления прав доступа. Это может быть либо DN, либо строка authzId, начинающаяся с "u:" или "dn:".

-e

Вывод информации о версии библиотеки LDAP и выход.

-f

Выполнить последовательность поисков, используя фильтры в 'файле'.，"%s" заменяется фильтром.

-F разделитель

Имена атрибутов отделяются от значений с помощью указанного разделителя. По умолчанию применяется разделитель `='. Если указан флаг -L, то эта опция игнорируется.

-G область

Задает область. Это необязательный параметр. При использовании с -m DIGEST-MD5 значение передается серверу при подключении.

-g before:after:index:count| before:after:value

'before' и 'after' задают число записей, окружающих 'index', 'count' - это счетчик материалов, а 'value' - значение утверждения для основного ключа сортировки.

-h хост

Задает альтернативный хост, на котором работает сервер LDAP.

-i файл

Утилита считывает последовательность строк из файла, выполняя функцию поиска LDAP для каждой строки. В этом случае фильтр, заданный в командной строке, воспринимается как шаблон, в котором первое вхождение % заменяется на строку из файла. Если файл представляет собой отдельный символ "-", то строки считываются из стандартного ввода.

Например, в команде ldapsearch -V3 -v -b "o=sample" -D "cn=admin" -w ldap -i filter.input %s dn файл filter.input может содержать следующие данные фильтров:

(cn=*Z)
(cn=*Z*)
(cn=Z*)
(cn=*Z*)
(cn~=A)
(cn>=A)
(cn<=B)

Прим.: Каждый фильтр должен указываться на отдельной строке.

Команда выполняет поиск по поддереву o=sample для каждого фильтра, начиная с cn=*Z.. Когда этот поиск завершается, начинается поиск для фильтра cn=*Z* и т. д. до окончания поиска для последнего фильтра cn<=B.

Прим.: Параметр -i < файл > используется вместо параметра -f< файл>. Параметр -f все еще поддерживается, но является устаревшим.

-j ограничение

Максимальное число значений, которое может быть возвращено для атрибута записи. По умолчанию применяется значение 0 (без ограничений).

-J ограничение

Максимальное число всех значений атрибутов, которое может возвращаться для записи. По умолчанию применяется значение 0 (без ограничений).

-k

Использовать управление администрированием сервера при подключении.

-K файл-ключей

Задает имя файла базы данных ключей SSL. Если файл базы данных ключей находится не в текущем каталоге, то следует указать полное имя файла.

Если утилите не удается обнаружить базу данных ключей, то применяется набор надежных базовых сертификатов сертификатных компаний, заданный по умолчанию. Файл базы данных ключей, как правило, содержит один или несколько сертификатов сертификатных компаний (CA), сертификаты которых принимает клиент. Сертификаты X.509 этого типа известны также как надежные базовые сертификаты.

Этот параметр включает опцию -Z. В случае работы с сервером каталогов в IBM® i указание опции -Z без опции -K и -N позволяет воспользоваться сертификатом, связанным с ИД приложения клиента сервера каталогов.

-l ограничение-времени

Ограничение на время поиска (в секундах).

-L

Вывести результаты поиска в формате LDIF. Если указана эта опция, то применяется и опция -B, а опция -F игнорируется.

-m механизм

Параметр механизм указывает механизм SASL, применяемый для подключения к серверу. Применяется API ldap_sasl_bind_s(). Если указано -V 2, то параметр -m игнорируется. Если параметр -m опущен, выполняется обычная процедура идентификации. Допустимые механизмы:

• CRAM-MD5 - защищает передаваемый серверу пароль.
• EXTERNAL - использует сертификат SSL. Требует указания ключа -Z.
• GSSAPI - использует разрешения Kerberos.
• Для DIGEST-MD5 необходимо, чтобы клиент отправлял на сервер имя пользователя. Требует указания ключа -U. Параметр -D (обычно это DN подключения) служит для указания ID предоставления прав доступа. Это может быть либо DN, либо строка authzId, начинающаяся с u: или dn:.
• OS400_PRFTKN - идентификация на локальном сервере LDAP в качестве текущего пользователя IBM i посредством DN пользователя в спроецированной базе данных системы. Параметры -D (DN подключения) и -w (пароль) указывать не нужно.

-M

Считает объекты переадресации обычными записями.

-n

Показывает результаты выполнения операции, но не вносит изменения в записи. Применяется для отладки вместе с параметром -v.

-N сертификат

Задает метку, связанную с сертификатом клиента в файле базы данных ключей.

Прим.: Если на сервере LDAP настроена только идентификация сервера, то сертификат клиента не нужен. Если на сервере LDAP настроена идентификация клиента и сервера, то может потребоваться сертификат клиента. Параметр сертификат указывать не нужно, если по умолчанию применяется сертификат и личный ключ. Кроме того, параметр сертификат не нужно указывать, если файл базы данных ключей содержит только один сертификат и личный ключ. Если не указаны параметры -Z и -K, то этот параметр игнорируется.

В случае работы с сервером каталогов в IBM i указание опции -Z без опции -K и -N позволяет воспользоваться сертификатом, связанным с ИД приложения клиента сервера каталогов.

-o тип-атрибута

Параметр -o позволяет задать атрибут, применяемый для сортировки результатов поиска. Для более точного определения порядка сортировки можно указать несколько параметров -o. В следующем примере результаты поиска сначала сортируются по фамилии (sn), затем по имени (givenname), причем сортировка по имени выполняется в обратном порядке (по убыванию), на что указывает символ минус (-) перед этим атрибутом:

-o sn -o -givenname

Таким образом, используется следующий синтаксис параметров сортировки:

 	[-]<имя-атрибута>[:<OID-правила-соответствия>]

где

• имя-атрибута - имя атрибута, по которому должна выполняться сортировка.
• OID-правила-соответствия - необязательный OID правила соответствия, которое должно применяться при сортировке. Атрибут OID правила соответствия не поддерживается сервером каталогов, однако другие серверы LDAP могут поддерживать его.
• Знак минус (-) указывает, что результаты должны быть упорядочены в обратном порядке.
• Значение критичности всегда равно critical.

По умолчанию операция ldapsearch не сортирует результаты.

-O макс.-число

Позволяет ограничить число транзитных участков, применяемых библиотекой клиента при переадресации. По умолчанию применяется значение 10.

-p порт

Задает порт TCP, с помощью которого сервер LDAP принимает запросы. По умолчанию номер порта LDAP равен 389. Если номер порта не задан, и указан параметр -Z, то применяется номер порта LDAP SSL по умолчанию, равный 636.

-P пароль-файла-ключей

Задает пароль базы данных ключей. Этот пароль необходим для работы с зашифрованной информацией в файле базы данных ключей, который может содержать один или несколько личных ключей. Если с файлом базы данных ключей связан файл пароля, пароль считывается из файла, и параметр -P указывать не нужно. Если не указаны параметры -Z и -K, то этот параметр игнорируется.

-q размер-страницы

Существует два параметра, позволяющих настроить разбиение результатов поиска на страницы: -q (размер страницы запроса) и -T (время в секундах между операциями поиска). В следующем примере за один раз возвращается страница результатов, содержащая 25 записей. Результаты выдаются каждые 15 секунд до тех пор, пока не будут возвращены все полученные результаты поиска. Клиент ldapsearch поддерживает соединение с сервером для каждой возвращаемой страницы на всем протяжении операции поиска.

Эти параметры полезны, например, при наличии у клиента ограниченного объема ресурсов, либо при подключении через медленное соединение. В целом они позволяют управлять скоростью возврата данных сервером в ответе на запрос. Вместо получения всех результатов сразу, вы можете получать их небольшими блоками (страницами). Кроме того, вы можете задавать продолжительность задержки между запросами страниц, предоставляя тем самым клиенту время для обработки результатов.

 -q 25  -T 15

Если указан параметр -v (подробный вывод), то ldapsearch после каждой страницы указывает количество возвращенных на данный момент записей, например, всего возвращено 30 записей

Поддерживается указание нескольких параметров -q, что позволяет указать различные размеры страниц для разных этапов одной и той же операции поиска. В следующем примере первая страница содержит 15 записей, вторая - 20, а третья завершает операцию поиска с постраничной выдачей результатов:

-q 15 -q 20 -q 0

В следующем примере первая страница содержит 15 записей, а вторая и все последующие, вплоть до завершения операции - по 20 записей.

-q 15 -q 20

По умолчанию операция ldapsearch возвращает в ответе на запрос все записи. Разбиение на страницы по умолчанию не выполняется.

-R

Отключает автоматический переход по ссылкам.

-s область

Задает область поиска. Область может принимать значения base, one и sub, обозначающие базовый объект, поиск на одном уровне и в поддереве, соответственно. Значение по умолчанию - sub.

-t

Запись полученных значений в набор временных файлов. Эта опция применяется для работы с двоичными значениями, такими как jpegPhoto и audio.

-T секунды

Время между операциями поиска (в секундах), Опция -T поддерживается только при указании опции -q.

–U имя-пользователя

Задает имя пользователя. Необходим при использовании -m DIGEST-MD5 и игнорируется для других механизмов.

-v

Подробный вывод, при котором создается множество диагностических сообщений.

-V

Задает версию LDAP, которая должна применяться утилитой ldapmodify при подключении к серверу LDAP. По умолчанию устанавливается соединение LDAP V3. Для явного выбора LDAP V3 укажите "-V 3". Значение "-V 2" указывает, что приложение должно работать в режиме LDAP V2. Для таких приложений, как ldapmodify, предпочитаемым протоколом является LDAP V3. Вместо ldap_open в них применяется ldap_init.

-w пароль | ?

Пароль для идентификации. Для того чтобы было показано приглашение для ввода пароля, укажите значение ?.

-x

Использовать режим обработки FIPS (только SSL/TLS).

-y dn-proxy

Задает ИД сервера proxy для идентификации.

–Y

Используется защищенное соединение LDAP (TLS).

-z ограничение-размера

Число записей, возвращаемых в результате поиска, не должно превышать указанного значения. С его помощью можно задать максимальное число записей, возвращаемых в результате поиска.

-Z

Указывает, что для обмена данными с сервером LDAP должно применяться защищенное соединение SSL. В случае работы с сервером каталогов в IBM i указание опции -Z без опции -K и -N позволяет воспользоваться сертификатом, связанным с ИД приложения клиента сервера каталогов.

-9 p

Устанавливает значение критичности false для разбиения на страницы. Поиск обрабатывается без разбиения на страницы.

-9 s

Устанавливает значение критичности false для сортировки. Поиск обрабатывается без сортировки.

фильтр

Задает строковое представление фильтра, применяемого при поиске. Простые фильтры можно указать в виде тип-атрибута=значение-атрибута. Более сложные фильтры задаются с помощью префиксной записи в соответствии со следующей диаграммой BNF:

<фильтр>
::='('<компонент-фильтра>')'
<компонент-фильтра> ::= <and>|<or>|<not>|<simple>
<and> ::= '&' <список-фильтров>
<or> ::= '|' <список-фильтров>
<not> ::= '!' <фильтр>
<список-фильтров> ::= <фильтр>|<фильтр><список-фильтров>
<simple> ::= <тип-атрибута><тип-фильтра>
<значение-атрибута>
<тип-фильтра> ::= '='|'~='|'<='|'>='

Конструкция '~=' позволяет обозначить приблизительное соответствие. Параметры <тип-атрибута> и <значение-атрибута> задаются в соответствии со спецификацией RFC 2252, LDAP V3 Attribute Syntax Definitions. Кроме того, если указан тип фильтра '=', то <значение-атрибута> может быть равно *, что означает проверку наличия атрибута, либо может содержать текст и звездочку (*), что означает проверку наличия заданной подстроки.

Например, фильтр "mail=*" позволяет найти все записи, содержащие атрибут mail. Фильтр "mail=*@student.of.life.edu" найдет все записи, в которых атрибут mail заканчивается указанной строкой. Для применения в фильтре скобок перед символами скобок необходимо указывать обратную косую черту (\).

Прим.: Фильтр "cn=Bob *", где между строкой Bob и звездочкой (*) есть пробел, позволяет найти в каталоге IBM строку "Bob Carter", но не позволит найти строку "Bobby Carter". Пробел между символами "Bob" и символом подстановки (*) влияет на результат применения фильтров.

Дополнительная информация о допустимых фильтрах приведена в документе RFC 2254, A String Representation of LDAP Search Filters.

Формат вывода

Если найдена одна или несколько записей, то каждая запись передается в поток вывода в следующем формате:

      Отличительное имя (DN)

      имя-атрибута=значение

      имя-атрибута=значение

      имя-атрибута=значение

     …

Записи разделяются пустыми строками. Если с помощью опции -F задан символ-разделитель, то он будет применяться вместо символа `='. Если указана опция -t, то вместо фактического значения применяется имя временного файла. Если задана опция -A, то возвращается только часть, соответствующая значению "имя-атрибута".

Примеры

 ldapsearch "cn=john doe" cn telephoneNumber

  cn=John E Doe, ou="College of Literature, Science, and the Arts",
ou=Students, ou=People, o=University of Higher Learning, c=US

  cn=John Doe

  cn=John Edward Doe

  cn=John E Doe 1

  cn=John E Doe

  telephoneNumber=+1 313 555-5432



  cn=John B Doe, ou=Information Technology Division,
ou=Faculty and Staff, ou=People, o=University of Higher Learning, c=US

  cn=John Doe

  cn=John B Doe 1

  cn=John B Doe

  telephoneNumber=+1 313 555-1111

Команда:

ldapsearch -t "uid=jed" jpegPhoto audio

выполняет поиск в поддереве записей, в которых uid равен "jed". При этом применяется база поиска по умолчанию. Для найденных записей извлекаются и помещаются во временные файлы значения jpegPhoto и audio. При обнаружении одной записи, содержащей по одному значению каждого запрошенного атрибута вывод может выглядеть, например, следующим образом:

cn=John E Doe, ou=Information Technology Division,

  ou=Faculty and Staff,

  ou=People, o=University of Higher Learning, c=US

  audio=/tmp/ldapsearch-audio-a19924

  jpegPhoto=/tmp/ldapsearch-jpegPhoto-a19924

Команда:

ldapsearch -L -s one -b "c=US" "o=university*" o description

выполняет поиск на уровне c=US всех организаций, атрибут organizationName которых начинается со строки university. Результаты поиска отображаются в формате LDIF (см. описание формата обмена данными LDAP). В стандартный поток вывода передаются значения атрибутов organizationName и description. Вывод может выглядеть, например, следующим образом:

dn: o=University of Alaska Fairbanks, c=US

  o: University of Alaska Fairbanks

  description: Preparing Alaska for a brave new tomorrow

  description: leaf node only



  dn: o=University of Colorado at Boulder, c=US

  o: University of Colorado at Boulder

  description: No personnel information

  description: Institution of education and research



  dn: o=University of Colorado at Denver, c=US

  o: University of Colorado at Denver

  o: UCD

  o: CU/Denver

  o: CU-Denver

  description: Institute for Higher Learning and Research



  dn: o=University of Florida, c=US

  o: University of Florida

  o: UFl

  description: Shaper of young minds



 …

Команда:

ldapsearch -b "c=US" -o ibm-slapdDN "objectclass=person" ibm-slapdDN

выполняет в поддереве c=US поиск всех записей класса persons. Специальный атрибут ibm-slapdDN, применяемый при поиске с сортировкой, позволяет упорядочить результаты поиска по строковому представлению отличительного имени (DN). Вывод может выглядеть, например, следующим образом:

cn=Al Edwards,ou=Widget Division,ou=Austin,o=IBM,c=US

cn=Al Garcia,ou=Home Entertainment,ou=Austin,o=IBM,c=US

cn=Amy Nguyen,ou=In Flight Systems,ou=Austin,o=IBM,c=US

cn=Arthur Edwards,ou=Widget Division,ou=Austin,o=IBM,c=US

cn=Becky Garcia,ou=In Flight Systems,ou=Austin,o=IBM,c=US

cn=Ben Catu,ou=In Flight Systems,ou=Austin,o=IBM,c=US

cn=Ben Garcia Jr,ou=Home Entertainment,ou=Austin,o=IBM,c=US

cn=Bill Keller Jr.,ou=In Flight Systems,ou=Austin,o=IBM,c=US

cn=Bob Campbell,ou=In Flight Systems,ou=Austin,o=IBM,c=US

Команда:

ldapsearch –h хост –o sn –b "o=ibm,c=us" "title=engineer"

возвратит все записи каталога сотрудников IBM, занимающих должность "engineer". Результаты будут упорядочены по фамилии (sn).

Команда:

ldapsearch –h hostname –o -sn –o cn –b "o=ibm,c=us" "title=engineer"

возвратит все записи каталога сотрудников IBM, название должности которых (title) начинается со строки "engineer". Результаты будут упорядочены по убыванию фамилии (sn), а затем по возрастанию по общему имени (cn).

Команда:

ldapsearch
–h хост –q 5 –T 3 –b o=ibm,c=us "title=engineer"

возвращает по пять записей на странице с задержкой между страницами 3 секунды. Будут возвращены все записи каталога сотрудников IBM, название должности равно "engineer".

В этом примере продемонстрирован поиск с применением объекта переадресации. Каталоги LDAP сервера каталогов могут содержать объекты переадресации только со следующими элементами:

• Отличительное имя (dn).
• Атрибут objectClass (objectClass).
• Атрибут переадресации (ref).

Допустим, что в системе 'System_A' есть следующая запись переадресации:

dn: cn=Barb Jensen, ou=Rochester, o=Big Company, c=US
ref: ldap://System_B:389/cn=Barb Jensen,
  ou=Rochester, o=Big Company, c=US
objectclass: referral

Все атрибуты, связанные с этой записью, должны находиться в системе 'System_B'.

Система System_B содержит следующую запись:

dn: cn=Barb Jensen, ou=Rochester, o=Big Company, c=US
cn: Barb Jensen
objectclass: organizationalPerson
sn: Jensen
telephonenumber: (800) 555 1212

Когда клиент отправляет запрос системе 'System_A', сервер LDAP в системе System_A возвращает клиенту следующий URL:

ldap://System_B:389/cn=Barb Jensen,
 ou=Rochester, o=Big Company, c=US                                      

С помощью этой информации клиент отправляет запрос в систему System_B. Если запись в системе System_A содержит какие-либо еще атрибуты, помимо dn, objectclass и ref, то сервер игнорирует их (если не указан флаг -R, означающий игнорирование переадресации).

Получив от сервера в ответ на запрос ссылку, клиент отправляет новый запрос на сервер с указанным адресом. Новый запрос имеет ту же область, что и исходный. Результаты этого поиска зависят от указанного значения области поиска (-b).

Если указано значение -s base, как показано ниже:

ldapsearch -h System_A -b 'ou=Rochester, o=Big Company, c=US'
     -s base 'sn=Jensen'                                         

то операция поиска возвращает все атрибуты всех записей с 'sn=Jensen', находящихся в системах System_A и System_B в 'ou=Rochester, o=Big Company, c=US'.

Если указано значение -s sub, как показано ниже:

ldapsearch -s sub "cn=John"                            

то сервер будет искать все суффиксы и вернет все записи, для которых "cn=John". Такая операция называется поиском с пустой базой в поддереве. Вместо того, чтобы запускать несколько поисков с различными суффиксами в базе, поиск ведется по всему каталогу с помощью всего одного оператора. Поиск такого типа требует больше времени и ресурсов системы, поскольку в поиск вовлекается весь каталог (все суффиксы).

Если указано значение -s sub, как показано ниже:

ldapsearch -h System_A -b 'ou=Rochester, o=Big Company, c=US'
     -s sub 'sn=Jensen'                                         

то операция поиска возвращает все атрибуты всех записей с 'sn=Jensen', находящихся в системах System_A и System_B на одном уровне с 'ou=Rochester, o=Big Company, c=US' или на более глубоких уровнях.

Если указано значение -s one, как показано ниже:

ldapsearch -h System_A -b 'ou=Rochester, o=Big Company, c=US'
     -s one 'sn=Jensen'                                         

то ни в одной системе значения не будут найдены. Вместо этого сервер возвратит клиенту ссылку на сервер:

ldap://System_B:389/cn=Barb Jensen,
  ou=Rochester, o=Big Company, c=US 

В этом случае клиент отправит следующий запрос:

 ldapsearch -h System_B -b 'ou=Rochester, o=Big Company, c=US'
     -s one 'sn=Jensen'                    

В этом случае результаты поиска также будут отсутствовать, поскольку запись

dn: cn=Barb Jensen, ou=Rochester, o=Big Company, c=US

находится в

ou=Rochester, o=Big Company, c=US

Опция -s one указывает, что следует искать записи на уровне, непосредственно следующем за

ou=Rochester, o=Big Company, c=US

Диагностика

При отсутствии ошибок код завершения равен 0. При наличии ошибок код завершения отличен от нуля, и создаются сообщение об ошибках.