Testen der Verbindungen zu LDAP-Verzeichnissen

Dieser Artikel enthält die folgenden Themen:
casm173
Dieser Artikel enthält die folgenden Themen:
Benutzen Sie das pdm_ldap_test-Befehlszeilenhilfsprogramm, um die Verbindung mit einem LDAP-Verzeichnis zu testen, um sicherzustellen, dass die Suchoptionen richtig konfiguriert sind, und um die TLS-Konfiguration zu testen.
Standardmäßig verwendet pdm_ldap_test die Parametereinstellungen, die in die $NX_ROOT/NX.env-Datei eingegeben werden, wenn Sie LDAP-Optionen installieren, bearbeiten oder deinstallieren. Um die Standardvorgaben zu überschreiben, können Sie Parameter in der pdm_ldap_test-Befehlszeile angeben.
Um die verfügbaren Parameter für diesen Befehl zu sehen, geben Sie folgenden Befehl ein:
pdm_ldap_test -h
Unter UNIX muss "LIBPATH" festgelegt sein, bevor mehrere CA SDM-Hilfsprogramme ausgeführt werden. Verwenden Sie "
pdm_task
", um "LIBPATH" festzulegen, bevor Sie ein Hilfsprogramm ausführen. Geben Sie zum Beispiel "pdm_task pdm_clean_attachments ..." ein.
Prüfen der Verbindung zum LDAP-Server
Um die Verbindung mit dem LDAP-Server zu überprüfen, führen Sie pdm_ldap_test ohne Parameter aus:
pdm_ldap_test
Erfolgreiche Verbindung zum LDAP-Server
Wenn die Verbindung erfolgreich ist, erhalten eine Ausgabe, die der folgenden ähnelt:
Starting pdm_ldap_test... LDAP service type=active directory Service Desk platform=windows Using search base=DC=mycontroller,DC=xyz,DC=com Using filter=(&(objectCategory=person)) ldap_init(myserver.mycontroller.xyz.com,389): (Success) ldap_bind_s(Administrator) (Success) LDAP API Verion 3
Anzeigen von Suchparametern
Um zu überprüfen, ob die Suchparameter richtig konfiguriert sind, lassen Sie pdm_ldap_test ohne Parameter laufen:
pdm_ldap_test
Erfolgreiche Suche
Wenn Ihre Suche erfolgreich ist, erhalten Sie eine Ausgabe, die der folgenden ähnelt:
DN: CN=John A. Smith,CN=Users,DC=COMPUTERTEST c(2)(0): US displayName(14)(0): John A. Smith mail(14)(0): [email protected] givenName(4)(0): John initials(1)(0): a distinguishedName(38)(0): CN=John a. Smith,CN=Users,DC=COMPUTERTEST objectGUID(3)(0): 314738 pager(12)(0): ###-111-1111 postalCode(5)(0): 11111 SAMAccountName(7)(0): account02 sn(6)(0): Smith telephoneNumber(12)(0): ###-342-6265 userPrincipalName(16)(0): [email protected] DN: CN=Mike Johnson,CN=Users,DC=COMPUTERTEST displayName(10)(0): Mike Johnson givenName(4)(0): Mike distinguishedName(34)(0): CN=Mike Johnson,CN=Users,DC=COMPUTERTEST objectGUID(12)(0): 312328 SAMAccountName(7)(0): account03 sn(5)(0): Johnson userPrincipalName(16)(0): [email protected]
Bestimmen der Attributnamen, die Werte haben
Benutzen Sie den Parameter -a "*" und den Parameter -f mit dem Befehl pdm_ldap_test, um zu entscheiden, welche Attribute für LDAP-Anwender- oder Gruppen-Datensätze definiert werden. Diese Prüfung ist nützlich, um zu bestimmen, ob LDAP-Attribute vorhanden sind, die Kontaktattributen zugeordnet werden sollen. Außerdem können Sie damit prüfen, ob ein bestimmtes Attribut einen Wert hat und verfügbar sein soll, wenn Kontaktdatensätze erstellt oder aktualisiert werden.
Das folgende Beispiel zeigt die Ausgabe aus einem iPlanet-Verzeichnis:
pdm_ldap_test -a "*" -f sn=Account_1000001 2 LDAP records found... DN: cn=Account_1000001,ou=200K_Plus,o=SmartLabs sn(15)(0): Account_1000001 objectClass(13)(0): inetOrgPerson objectClass(20)(1): organizationalPerson objectClass(6)(2): Person objectClass(18)(3): ndsLoginProperties objectClass(3)(4): Top DN: cn=Account_1000001,ou=2_Plus,o=SmartLabs mail(28)(0): ThisIsTheMailingAddressField uid(13)(0): Login_1000001 givenName(17)(0): GivenNameOfPerson sn(15)(0): Account_1000001 objectClass(13)(0): inetOrgPerson objectClass(20)(1): organizationalPerson objectClass(6)(2): Person objectClass(18)(3): ndsLoginProperties objectClass(3)(4): Top
Das folgende Beispiel zeigt die Ausgabe aus Active Directory:
Ldap_test - a "*" - f (&(sn=Brown)(initials=A))" 1 LDAP records found... DN: CN=John A. Smith,CN=Users,DC=mycontroller,DC=xyz,DC=com objectClass(3)(0): top objectClass(6)(1): person objectClass(20)(2): organizationalPerson objectClass(4)(3): user cn(16)(0): John A. Smith sn(5)(0): Brown givenName(7)(0): John initials(1)(0): A distinguishedName(55)(0): CN=John A. Smith,CN=Users,DC=mycontroller,DC=xyz,DC=com displayName(16)(0): John A. Smith memberOf(52)(0): CN=Domain Admins,CN=Users,DC=mycontroller,DC=xyz,DC=com sAMAccountName(7)(0): smijo04 userPrincipalName(25)(0): [email protected] objectCategory(63)(0): CN=Person,CN=Schema,CN=Configuration,DC=mycontroller,DC=xyz,DC=com
Einschränken der Suche
Benutzen Sie den Parameter -f mit dem pdm_ldap_test-Befehl, um einen Filter anzugeben, der zum Grundfilter zur Einengung der Suchkriterien hinzugefügt wird. Sie müssen im Filter die entsprechende LDAP-Syntax und die LDAP-Schemaattributnamen verwenden. Setzen Sie den Filter immer in Anführungszeichen und verwenden Sie Klammern, um die Reihenfolge der Operatoren anzugeben.
Verwenden Sie zum Beispiel den folgenden Befehl, um nach allen Datensätzen zu suchen, für die sn=Account_10001:
pdm_ldap_test - f "(sn=Account_10001)"
Das pdm_ldap_test-Dienstprogramm unterstützt die folgenden Gleichheits-Operator:
Gleichheits-Operator
Beschreibung
=
ist gleich
<=
kleiner oder gleich
>=
größer oder gleich
~=
gleich
Das pdm_ldap_test-Dienstprogramm stützt die folgenden Booleschen Operatoren:
Boolescher Operator
Beschreibung
&
AND
|
ODER
!
NOT
Die Operatoren AND und OR wirken sich auf jedes Klammernpaar () im Suchfilter aus. Der Operator NOT wirkt sich nur auf das Klammernpaar aus. Diese Operatoren gehen den Suchfiltern immer
voraus
, um auf diese und nicht zwischen ihnen angewandt zu werden. Sie können auch auf eine beliebige Anzahl von Filtern angewandt werden, wie in den folgenden Beispielen gezeigt:
"(&(sn=Brown)(initials=A)) " "(|(sn=Brown)(sn=Smith))" "(!sn=Brown)"