Testar conexões a diretórios LDAP

Este artigo contém os seguintes tópicos:
casm173
Este artigo contém os seguintes tópicos:
Use o utilitário de linha de comando pdm_ldap_test para testar a conexão com um diretório LDAP, garantir que as opções de pesquisa estão corretamente configuradas e testar a configuração de TLS.
Por padrão, o pdm_ldap_test usa as configurações de parâmetro que são inseridas no arquivo quando você instala, edita ou desinstala as opções de LDAP. Para substituir os padrões, é possível especificar os parâmetros na linha de comando do pdm_ldap_test.
Para ver os parâmetros disponíveis para este comando, insira o seguinte comando:
pdm_ldap_test -h
No UNIX, o LIBPATH precisa ser definido antes de executar vários utilitários do CA SDM. Use o
pdm_task
para definir o LIBPATH antes de executar o utilitário. Por exemplo, digite "pdm_task pdm_clean_attachments...".
Verificar conexão ao servidor LDAP
Para verificar a conexão com o servidor LDAP, execute pdm_ldap_test sem parâmetros:
pdm_ldap_test
Conexão bem-sucedida ao servidor LDAP
Se a conexão for bem sucedida, você receberá uma saída similar à seguinte:
Starting pdm_ldap_test... LDAP service type=active directory Service Desk platform=windows Using search base=DC=mycontroller,DC=xyz,DC=com Using filter=(&(objectCategory=person)) ldap_init(myserver.mycontroller.xyz.com,389): (Success) ldap_bind_s(Administrator) (Success) LDAP API Verion 3
Exibir parâmetros de pesquisa
Para verificar se os parâmetros de pesquisa estão corretamente configurados, execute o pdm_ldap_test sem parâmetros:
pdm_ldap_test
Pesquisa bem-sucedida
Se sua pesquisa for bem-sucedida, você obterá um resultado semelhante à seguinte:
DN: CN=John A. Smith,CN=Users,DC=COMPUTERTEST c(2)(0): US displayName(14)(0): John A. Smith mail(14)(0): [email protected] givenName(4)(0): John initials(1)(0): a distinguishedName(38)(0): CN=John a. Smith,CN=Users,DC=COMPUTERTEST objectGUID(3)(0): 314738 pager(12)(0): ###-111-1111 postalCode(5)(0): 11111 SAMAccountName(7)(0): account02 sn(6)(0): Smith telephoneNumber(12)(0): ###-342-6265 userPrincipalName(16)(0): [email protected] DN: CN=Mike Johnson,CN=Users,DC=COMPUTERTEST displayName(10)(0): Mike Johnson givenName(4)(0): Mike distinguishedName(34)(0): CN=Mike Johnson,CN=Users,DC=COMPUTERTEST objectGUID(12)(0): 312328 SAMAccountName(7)(0): account03 sn(5)(0): Johnson userPrincipalName(16)(0): [email protected]
Determinar que Nomes de atributo têm Valores
Use o parâmetro -a “*” e o parâmetro -f com o comando pdm_ldap_test para determinar quais atributos estão definidos para os registros de Usuário ou Grupo do LDAP. Esse teste é útil para determinar se há atributos LDAP que você deseja mapear para atributos de Contato, e para verificar se um atributo particular tem um valor e deve estar disponível ao criar ou atualizar registros de contato.
O exemplo a seguir mostra a saída de um diretório iPlanet:
pdm_ldap_test -a "*" -f sn=Account_1000001 2 LDAP records found... DN: cn=Account_1000001,ou=200K_Plus,o=SmartLabs sn(15)(0): Account_1000001 objectClass(13)(0): inetOrgPerson objectClass(20)(1): organizationalPerson objectClass(6)(2): Person objectClass(18)(3): ndsLoginProperties objectClass(3)(4): Top DN: cn=Account_1000001,ou=2_Plus,o=SmartLabs mail(28)(0): ThisIsTheMailingAddressField uid(13)(0): Login_1000001 givenName(17)(0): GivenNameOfPerson sn(15)(0): Account_1000001 objectClass(13)(0): inetOrgPerson objectClass(20)(1): organizationalPerson objectClass(6)(2): Person objectClass(18)(3): ndsLoginProperties objectClass(3)(4): Top
O exemplo a seguir mostra a saída do Active Directory:
Ldap_test - a "*" - f (&(sn=Brown)(initials=A))" 1 LDAP records found... DN: CN=John A. Smith,CN=Users,DC=mycontroller,DC=xyz,DC=com objectClass(3)(0): top objectClass(6)(1): person objectClass(20)(2): organizationalPerson objectClass(4)(3): user cn(16)(0): John A. Smith sn(5)(0): Brown givenName(7)(0): John initials(1)(0): A distinguishedName(55)(0): CN=John A. Smith,CN=Users,DC=mycontroller,DC=xyz,DC=com displayName(16)(0): John A. Smith memberOf(52)(0): CN=Domain Admins,CN=Users,DC=mycontroller,DC=xyz,DC=com sAMAccountName(7)(0): smijo04 userPrincipalName(25)(0): [email protected] objectCategory(63)(0): CN=Person,CN=Schema,CN=Configuration,DC=mycontroller,DC=xyz,DC=com
Refinar sua pesquisa
Use o parâmetro -f com o comando pdm_ldap_test para especificar um filtro a ser adicionado ao filtro base para refinar os critérios de pesquisa. Você deve usar sintaxe de LDAP apropriada e nomes de atributo de esquema de LDAP em seu filtro. Sempre coloque seu filtro entre aspas duplas e use parênteses para esclarecer a ordem de precedência de operador.
Por exemplo, use o seguinte comando para pesquisar todos os registros em que sn=Account_10001:
pdm_ldap_test - f "(sn=Account_10001)"
O utilitário pdm_ldap_test oferece suporte aos seguintes operadores de igualdade:
Operador de igualdade
Descrição
=
igual a
<=
menor que ou igual a
>=
maior que ou igual a
~=
semelhante
O utilitário pdm_ldap_test oferece suporte aos seguintes operadores booleanos:
Operador booleano
Descrição
&
E
|
OU
!
NOT
Os operadores AND e OR afetam cada conjunto de parênteses () no filtro de pesquisa. O NOT afeta apenas o primeiro conjunto de parênteses. Sempre coloque esses operadores
antes
dos filtros de pesquisa que devem ser afetados, em vez de entre os filtros. Eles podem ser aplicados a qualquer quantidade de filtros, como mostra o seguinte exemplo:
"(&(sn=Brown)(initials=A)) " "(|(sn=Brown)(sn=Smith))" "(!sn=Brown)"