Utilisation des outils LDAP sous Linux ou Solaris
eDirectory inclut des outils LDAP qui vous aident à gérer le serveur de répertoires LDAP. Les sections suivantes fournissent des informations concernant l'utilisation des outils LDAP pour eDirectory :
Pour effectuer des opérations sécurisées avec les outils LDAP, reportez-vous à Opérations sécurisées eDirectory sur les systèmes Linux et Solariset insérez le fichier DER dans toutes les opérations LDAP de ligne de commande qui établissent des connexions LDAP sécurisées vers le eDirectory.
Modification d'entrées sur le serveur de répertoires LDAP
L'outil ldapmodify ouvre une connexion vers un serveur LDAP, crée une liaison et modifie ou ajoute des entrées. Les informations relatives à l'entrée sont lues depuis l'entrée standard ou depuis le fichier à l'aide de l'option -f.
Utilisez la syntaxe suivante pour effectuer des opérations ldapmodify :
ldapmodify [-a] [-b] [-c] [-r] [-n] [-v] [-d debuglevel] [-e key nom_de_fichier] [-D dn_liaison] [[-W]|[-w mot_de_passe]] [-h hôte_ldap] [-p port_ldap] [-f fichier]
Tableau 106. Paramètres ldapmodify
-a |
Ajoute de nouvelles entrées. L'opération par défaut de ldapmodify est de modifier des entrées existantes. |
-b |
Suppose que toutes les valeurs commençant par une barre oblique (/) sont des valeurs binaires et que la valeur réelle se trouve dans un fichier dont le chemin d'accès est indiqué à l'emplacement habituel des valeurs. |
-c |
Mode de fonctionnement continu. Des erreurs sont signalées, mais ldapmodify continue les modifications. L'opération par défaut est de quitter une fois chaque erreur signalée. |
-r |
Remplace les valeurs existantes par défaut. |
-n |
Affiche ce qui serait effectué, mais en réalité ne modifie pas les entrées. Utile pour le débogage conjointement avec l'option -v. |
-v |
Utilise le mode verbeux, avec de nombreux diagnostics écrits dans la sortie standard. |
-F |
Impose l'application de toutes les modifications, quel que soit le contenu des lignes d'entrée qui commencent par replica: (par défaut, les lignes replica: sont comparées à l'hôte et au port du serveur LDAP utilisés pour savoir si un enregistrement replog doit être appliqué). |
-d debuglevel |
Configure le niveau de débogage LDAP sur debuglevel. ldapmodify doit être compilé avec LDAP_DEBUG défini pour que cette option ait un effet. |
-e |
Nom de fichier du certificat de fichier pour la liaison SSL. |
-f fichier |
Lit les informations de modification de l'entrée à partir du fichier et non de l'entrée standard. |
-D dn_liaison |
Lie au répertoire X.500. dn_liaison doit être un nom distinctif représenté par une chaîne conformément à la norme RFC 1779. |
-W invite_à_effectuer_une_authentification_simple |
Revient à indiquer le mot de passe sur la ligne de commande. |
-w passwd |
Utilisez " passwd " comme mot de passe pour l'authentification simple. |
-h hôte_ldap |
Définit un autre hôte sur lequel le serveur LDAP est exécuté. |
-p port_ldap |
Indique un autre port TCP sur lequel le serveur LDAP écoute. |
Exemple :
Pour modifier des entrées sur le serveur de répertoires LDAP, entrez :
ldapmodify -h sociétéxyz.com -D cn=admin,o=sociétéxyz -w treasure -f T01.mod
Modification du nom distinctif relatif des entrées sur le serveur de répertoires LDAP
Vous pouvez utiliser ldapmodrdn pour modifier le nom distinctif relatif (RDN) des entrées sur le serveur de répertoires LDAP. L'outil ldapmodrdn ouvre une connexion vers un serveur LDAP, crée une liaison et modifie le RDN des entrées. Les informations relatives aux entrées sont lues depuis l'entrée standard, depuis le fichier à l'aide de l'option -f ou depuis la paire dn et rdn de la ligne de commande.
Utilisez la syntaxe suivante pour effectuer des opérations ldapmodrdn :
ldapmodrdn [-r] [-n] [-v] [-c] [-d debuglevel] [-e key nom_de_fichier] [-D dn_liaison] [[-W]|[-w mot_de_passe]] [-h hôte_ldap] [-p port_ldap] [-f fichier] [dn rdn]
Tableau 107. Paramètres ldapmodrdn
-r |
Retire les anciennes valeurs RDN de l'entrée. Par défaut, les anciennes valeurs sont conservées. |
-n |
Affiche ce qui serait effectué, mais en réalité ne change pas les entrées. Utile pour le débogage conjointement avec l'option -v. |
-v |
Utilise le mode verbeux, avec de nombreux diagnostics écrits dans la sortie standard. |
-c |
Mode de fonctionnement continu. Des erreurs sont signalées, mais ldapmodify continue les modifications. L'opération par défaut est de quitter une fois chaque erreur signalée. |
-d debuglevel |
Configure le niveau de débogage LDAP sur debuglevel. ldapmodrdn doit être compilé avec LDAP_DEBUG défini pour que cette option ait un effet. |
-e |
Nom de fichier du certificat de fichier pour la liaison SSL. |
-f fichier |
Lit les informations de modification de l'entrée à partir du fichier et non pas à partir de l'entrée standard ou de la ligne de commande. |
-D dn_liaison |
Lie au répertoire X.500. dn_liaison doit être un nom distinctif représenté par une chaîne conformément à la norme RFC 1779. |
-w |
Invite à une authentification simple. Revient à indiquer le mot de passe sur la ligne de commande. |
-w passwd |
Utilisez " passwd " comme mot de passe pour l'authentification simple. |
-h hôte_ldap |
Définit un autre hôte sur lequel le serveur LDAP est exécuté. |
-p |
Indique un autre port TCP sur lequel le serveur LDAP écoute. |
Exemple :
Pour modifier le RDN d'entrées sur le serveur de répertoires LDAP, entrez :
ldapmodrdn -r -D cn=admin,o=sociétéxyz -w treasure cn=DétailUtilisateur,o=sociétéxyz cn=InfoUtilisateur
Suppression d'entrées sur le serveur de répertoires LDAP
Vous pouvez utiliser ldapdelete pour supprimer des entrées sur le serveur de répertoires LDAP. L'outil ldapdelete ouvre une connexion vers un serveur LDAP, crée une liaison et supprime une ou plusieurs entrées. Si un ou plusieurs arguments dn sont fournis, les entrées portant ces noms distinctifs sont supprimées. Chaque dn doit être un DN représenté par une chaîne conformément à la norme RFC 1779. Si aucun argument dn n'est fourni, la liste des DN est lue à partir de l'entrée standard ou du fichier, si l'indicateur -f est utilisé.
Utilisez la syntaxe suivante pour effectuer des opérations ldapdelete :
ldapdelete [-n] [-v] [-c] [-d debuglevel] [-e key nom_de_fichier] [-f fichier] [-D dn_liaison] [[-W]| [-w mot_de_passe]] [-h hôte_ldap] [-p port_ldap] [dn]...
Tableau 108. Paramètres ldapdelete
-n |
Affiche ce qui serait effectué, mais en réalité ne supprime pas les entrées. Utile pour le débogage conjointement avec l'option -v. |
-v |
Utilise le mode verbeux, avec de nombreux diagnostics écrits dans la sortie standard. |
-c |
Mode de fonctionnement continu. Des erreurs sont signalées, mais ldapdelete continue les suppressions. L'opération par défaut est de quitter une fois chaque erreur signalée. |
-d debuglevel |
Configure le niveau de débogage LDAP sur debuglevel. ldapdelete doit être compilé avec LDAP_DEBUG défini pour que cette option ait un effet. |
-e |
Nom de fichier du certificat de fichier pour la liaison SSL. |
-f fichier |
Lit une série de lignes du fichier, en effectuant une recherche LDAP par ligne. Dans ce cas, le filtre indiqué sur la ligne de commande est traité en tant que modèle où la première occurrence de % est remplacée par une ligne du fichier. |
-D dn_liaison |
Lie au répertoire X.500. dn_liaison doit être un nom distinctif représenté par une chaîne conformément à la norme RFC 1779. |
-W |
Invite à une authentification simple. Revient à indiquer le mot de passe sur la ligne de commande. |
-w passwd |
Utilisez " passwd " comme mot de passe pour l'authentification simple. |
-h hôte_ldap |
Définit un autre hôte sur lequel le serveur LDAP est exécuté. |
-p port_ldap |
Indique un autre port TCP sur lequel le serveur LDAP écoute. |
Exemple :
Pour supprimer des entrées sur le serveur de répertoires LDAP, entrez :
ldapdelete -D cn=admin,o=sociétéxyz -w treasure -f T01.del
Recherche d'entrées sur le serveur de répertoires LDAP
Vous pouvez utiliser ldapsearch pour rechercher des entrées sur le serveur de répertoires LDAP. L'outil ldapsearch ouvre une connexion vers un serveur LDAP, crée une liaison et effectue une recherche à l'aide du filtre spécifié. Le filtre doit être conforme à la représentation de chaîne des filtres LDAP, selon la norme RFC 1558. Si ldapsearch trouve une ou plusieurs entrées, les attributs spécifiés par le paramètre attrssont récupérés, et les entrées et valeurs sont imprimées vers la sortie standard. Si aucune valeur n'est spécifiée pour ce paramètre, tous les attributs sont renvoyés.
Utilisez la syntaxe suivante pour effectuer des opérations ldapsearch :
ldapsearch [-n] [-u] [-v] [-t] [-A] [-B] [-L] [-R] [-d debuglevel] [-e key nom_de_fichier] [-F sep] [-f fichier] [-D dn_liaison] [[-W]| [-w bindpasswd]] [-h hôte_ldap] [-p port_ldap] [-b searchbase] [-s étendue] [-a deref] [-l limite_temps] [-z limite_taille] filter [attrs....]
Tableau 109. Paramètres ldapsearch
-n |
Affiche ce qui serait effectué, mais en réalité n'effectue pas la recherche. Utile pour le débogage conjointement avec l'option -v. |
-u |
Inclut la forme conviviale du nom distinctif (DN) dans la sortie. |
-v |
Utilise le mode verbeux, avec de nombreux diagnostics écrits dans la sortie standard. |
-t |
Écrit les valeurs récupérées dans un ensemble de fichiers temporaires. Cette fonction est utile pour traiter des valeurs non-ASCII comme jpegPhoto ou audio. |
-A |
Récupère uniquement des attributs (aucune valeur). Cette fonction est utile lorsque vous voulez seulement vérifier si un attribut est présent dans une entrée et pas les valeurs spécifiques de l'attribut. |
-B |
Ne supprime pas l'affichage de valeurs non-ASCII. Cette fonction est utile pour traiter des valeurs qui apparaissent dans d'autres jeux de caractères comme ISO-8859.1. Cette option dépend de -L. |
-L |
Affiche les résultats de la recherche au format LDIF. Cette option active également l'option -B et permet d'ignorer l'option -F. |
-R |
Ne suit pas automatiquement les renvois retournés lors d'une recherche. ldapsearch doit être compilé avec LDAP_REFERRALS défini pour que les références puissent être automatiquement suivies par défaut et pour que cette option ait un effet. |
-e |
Nom de fichier du certificat de fichier pour la liaison SSL. |
-F sep |
Utilise sep comme séparateur de champ entre les noms et les valeurs des attributs. Le séparateur par défaut est =, à moins que l'indicateur -L ait été spécifié, auquel cas cette option est ignorée. |
attribut -S |
Trie les entrées renvoyées selon l'attribut. Par défaut, les entrées renvoyées ne sont pas triées. Si l'attribut est une chaîne vide (""), les entrées sont triées sur la base des composants de leurs noms distinctifs. Notez que ldapsearch imprime normalement les entrées au fur et à mesure qu'il les reçoit. L'utilisation de l'option -S entraîne la récupération, le tri et l'impression de toutes les entrées. |
-d debuglevel |
Configure le niveau de débogage LDAP sur debuglevel. ldapsearch doit être compilé avec LDAP_DEBUG défini pour que cette option ait un effet. |
-f fichier |
Lit une série de lignes du fichier, en effectuant une recherche LDAP par ligne. Dans ce cas, le filtre indiqué sur la ligne de commande est traité en tant que modèle où la première occurrence de % est remplacée par une ligne du fichier. Si le fichier est à caractère unique, les lignes sont lues à partir de l'entrée standard. |
-D dn_liaison |
Lie au répertoire X.500. dn_liaison doit être un nom distinctif représenté par une chaîne conformément à la norme RFC 1779. |
-W invite_à_effectuer_une_authentification_simple |
Revient à indiquer le mot de passe sur la ligne de commande. |
-w bindpasswd |
Utilisez " bindpasswd " comme mot de passe pour l'authentification simple. |
-h hôte_ldap |
Définit un autre hôte sur lequel le serveur LDAP est exécuté. |
-p port_ldap |
Indique un autre port TCP sur lequel le serveur LDAP écoute. |
-b searchbase |
Utilisé comme point de départ de la recherche (à la place de celui défini par défaut). |
-s étendue |
Définit l'étendue de la recherche. L'étendue peut être base, premier niveau ou sous-arborescences pour indiquer que la recherche porte sur l'objet de base, sur un niveau ou sur la sous-arborescence. La valeur par défaut est sous-arborescences. |
-a deref |
Indique comment la suppression des références des alias est effectuée. Les valeurs de ce paramètre peuvent être Un ou jamais, Toujours, Rechercher ou Trouver pour indiquer que les références des alias ne sont jamais supprimées, toujours supprimées, supprimées lors de la recherche ou supprimées uniquement lors de la localisation de l'objet de base de la recherche. Par défaut, les références des alias ne sont jamais supprimées. |
-l limite_temps |
Accorde à la recherche le délai en secondes défini par le paramètre limite_temps. |
-a limite_taille |
Accorde à la recherche le délai en secondes défini par le paramètre limite_taille. |
Exemple :
Pour rechercher des entrées sur le serveur de répertoires LDAP, entrez :
ldapsearch -h sociétéxyz.com -b o=sociétéxyz -D cn=admin,o=sociétéxyz -w treasure cn=admin
