Prueba de las conexiones con directorios LDAP

Este artículo contiene los siguientes temas:
casm173
Este artículo contiene los siguientes temas:
Use la utilidad de línea de comandos pdm_ldap_test para probar la conexión a un directorio LDAP, asegurarse de que las opciones de búsqueda estén configuradas correctamente y probar la configuración de TLS.
De forma predeterminada, pdm_ldap_test utiliza los valores de configuración de los parámetros que se introducen en el archivo $NX_ROOT/NX.env cuando se instalan, editan o desinstalan opciones de LDAP. Para sustituir los valores predeterminados, puede especificar los parámetros en la línea de comandos pdm_ldap_test.
Para ver los parámetros disponibles para este comando, introduzca el siguiente comando:
pdm_ldap_test -h
En UNIX, se deberá establecer LIBPATH antes de ejecutar varias utilidades de CA SDM. Utilice
pdm_task
para establecer LIBPATH antes de ejecutar una utilidad. Por ejemplo, introduzca "pdm_task pdm_clean_attachments ...".
Comprobación de la conexión al servidor LDAP
Para comprobar la conexión al servidor LDAP, ejecute pdm_ldap_test sin parámetros:
pdm_ldap_test
Conexión correcta al servidor LDAP
Si la conexión se establece con éxito, se obtiene un resultado similar al siguiente:
Starting pdm_ldap_test... LDAP service type=active directory Service Desk platform=windows Using search base=DC=mycontroller,DC=xyz,DC=com Using filter=(&(objectCategory=person)) ldap_init(myserver.mycontroller.xyz.com,389): (Success) ldap_bind_s(Administrator) (Success) LDAP API Verion 3
Consulta de parámetros de búsqueda
Para comprobar que los parámetros de búsqueda estén configurados correctamente, ejecute pdm_ldap_test sin parámetros:
pdm_ldap_test
Búsqueda correcta
Cuando la búsqueda se realiza con éxito, se obtiene un resultado similar al siguiente:
DN: CN=John A. Smith,CN=Users,DC=COMPUTERTEST c(2)(0): US displayName(14)(0): John A. Smith mail(14)(0): [email protected] givenName(4)(0): John initials(1)(0): a distinguishedName(38)(0): CN=John a. Smith,CN=Users,DC=COMPUTERTEST objectGUID(3)(0): 314738 pager(12)(0): ###-111-1111 postalCode(5)(0): 11111 SAMAccountName(7)(0): account02 sn(6)(0): Smith telephoneNumber(12)(0): ###-342-6265 userPrincipalName(16)(0): [email protected] DN: CN=Mike Johnson,CN=Users,DC=COMPUTERTEST displayName(10)(0): Mike Johnson givenName(4)(0): Mike distinguishedName(34)(0): CN=Mike Johnson,CN=Users,DC=COMPUTERTEST objectGUID(12)(0): 312328 SAMAccountName(7)(0): account03 sn(5)(0): Johnson userPrincipalName(16)(0): [email protected]
Determinación de los nombres de atributos que poseen valores
Utilice los parámetros -a “*” y -f con el comando pdm_ldap_test para determinar qué atributos se han definido para los registros de grupos y usuarios LDAP. Esta prueba resulta de utilidad para ver si existe algún atributo LDAP que desee asignar a los atributos de contacto, y para verificar si un atributo determinado dispone de un valor y debe estar disponible al crear o actualizar los registros de contacto.
En este ejemplo se muestra el resultado de un directorio iPlanet:
pdm_ldap_test -a "*" -f sn=Account_1000001 2 LDAP records found... DN: cn=Account_1000001,ou=200K_Plus,o=SmartLabs sn(15)(0): Account_1000001 objectClass(13)(0): inetOrgPerson objectClass(20)(1): organizationalPerson objectClass(6)(2): Person objectClass(18)(3): ndsLoginProperties objectClass(3)(4): Top DN: cn=Account_1000001,ou=2_Plus,o=SmartLabs mail(28)(0): ThisIsTheMailingAddressField uid(13)(0): Login_1000001 givenName(17)(0): GivenNameOfPerson sn(15)(0): Account_1000001 objectClass(13)(0): inetOrgPerson objectClass(20)(1): organizationalPerson objectClass(6)(2): Person objectClass(18)(3): ndsLoginProperties objectClass(3)(4): Top
En este ejemplo se muestra el resultado de Active Directory:
Ldap_test - a "*" - f (&(sn=Brown)(initials=A))" 1 LDAP records found... DN: CN=John A. Smith,CN=Users,DC=mycontroller,DC=xyz,DC=com objectClass(3)(0): top objectClass(6)(1): person objectClass(20)(2): organizationalPerson objectClass(4)(3): user cn(16)(0): John A. Smith sn(5)(0): Brown givenName(7)(0): John initials(1)(0): A distinguishedName(55)(0): CN=John A. Smith,CN=Users,DC=mycontroller,DC=xyz,DC=com displayName(16)(0): John A. Smith memberOf(52)(0): CN=Domain Admins,CN=Users,DC=mycontroller,DC=xyz,DC=com sAMAccountName(7)(0): smijo04 userPrincipalName(25)(0): [email protected] objectCategory(63)(0): CN=Person,CN=Schema,CN=Configuration,DC=mycontroller,DC=xyz,DC=com
Acotamiento de búsquedas
Utilice el parámetro -f con el comando pdm_ldap_test para especificar el filtro que se va a agregar al filtro base con el fin de restringir los criterios de búsqueda. En el filtro se deben utilizar tanto la sintaxis LDAP apropiada como los nombres de atributos del esquema LDAP adecuados. Encierre los filtros entre comillas dobles y use paréntesis para aclarar el orden de prioridad de los operadores.
Por ejemplo, use el siguiente comando para buscar todos los registros en los que aparece sn=Account_10001:
pdm_ldap_test - f "(sn=Account_10001)"
La utilidad pdm_ldap_test admite los siguientes operadores de igualdad:
Operador de igualdad
Descripción
=
igual a
<=
menor que o igual a
>=
mayor que o igual a
~=
como
La utilidad pdm_ldap_test admite los siguientes operadores booleanos:
Operador booleano
Descripción
&
Y
|
O
!
NO
Los operadores Y y O afectan a todos los conjuntos de paréntesis () del filtro de búsqueda. El NO sólo afecta al primer conjunto de paréntesis. Coloque estos operadores siempre
antes
de los filtros de búsqueda a los que se aplican en lugar de colocarlos en el medio de ellos. Estos operadores se pueden aplicar a cuantos filtros se desee, como se muestra en el siguiente ejemplo:
"(&(sn=Brown)(initials=A)) " "(|(sn=Brown)(sn=Smith))" "(!sn=Brown)"