Test des connexions aux annuaires LDAP

Cet article contient les rubriques suivantes :
casm173
Cet article contient les rubriques suivantes :
Utilisez l'utilitaire de ligne de commande de pdm_ldap_test pour tester la connexion à un répertoire LDAP, vous assurer que les options de recherche sont correctement configurées, et tester la configuration TLS.
Par défaut, pdm_ldap_test utilise la configuration de paramètre qui est saisie dans le fichier de $NX_ROOT/NX.env lorsque vous installez, modifiez ou désinstallez des options de LDAP. Pour remplacer les valeurs par défaut, vous pouvez spécifier des paramètres sur la ligne de commande de pdm_ldap_test.
Pour voir les paramètres disponibles pour cette commande, saisissez de la commande suivante :
pdm_ldap_test -h
Sous UNIX, la variable LIBPATH doit être définie avant d'exécuter plusieurs utilitaires CA SDM. Utilisez l'utilitaire
pdm_task
pour définir la variable LIBPATH avant d'exécuter un utilitaire. Par exemple, entrez "pdm_task pdm_clean_attachments ...".
Vérification de la connexion au serveur LDAP
Pour vérifier la connexion au serveur de LDAP, exécutez pdm_ldap_test sans paramètres :
pdm_ldap_test
Connexion réussie au serveur LDAP
Si la connexion a été établie avec succès, les informations suivantes s'affichent :
Starting pdm_ldap_test... LDAP service type=active directory Service Desk platform=windows Using search base=DC=mycontroller,DC=xyz,DC=com Using filter=(&(objectCategory=person)) ldap_init(myserver.mycontroller.xyz.com,389): (Success) ldap_bind_s(Administrator) (Success) LDAP API Verion 3
Affichage des paramètres de recherche
Afin de vérifier si les paramètres de recherche sont correctement configurés, exécutez pdm_ldap_test sans paramètres :
pdm_ldap_test
Recherche réussie
Si votre recherche renvoie des résultats, le système affiche des informations semblables à celles-ci :
DN: CN=John A. Smith,CN=Users,DC=COMPUTERTEST c(2)(0): US displayName(14)(0): John A. Smith mail(14)(0): [email protected] givenName(4)(0): John initials(1)(0): a distinguishedName(38)(0): CN=John a. Smith,CN=Users,DC=COMPUTERTEST objectGUID(3)(0): 314738 pager(12)(0): ###-111-1111 postalCode(5)(0): 11111 SAMAccountName(7)(0): account02 sn(6)(0): Smith telephoneNumber(12)(0): ###-342-6265 userPrincipalName(16)(0): [email protected] DN: CN=Mike Johnson,CN=Users,DC=COMPUTERTEST displayName(10)(0): Mike Johnson givenName(4)(0): Mike distinguishedName(34)(0): CN=Mike Johnson,CN=Users,DC=COMPUTERTEST objectGUID(12)(0): 312328 SAMAccountName(7)(0): account03 sn(5)(0): Johnson userPrincipalName(16)(0): [email protected]
Détermination des noms d'attributs avec valeurs
Utilisez le paramètre de "*" de -a et le paramètre de -f avec la commande de pdm_ldap_test pour déterminer les attributs définis pour l'Utilisateur de LDAP ou les enregistrements de Groupe. Ce test est utile pour déterminer si vous souhaitez mapper certains attributs LDAP aux attributs de contact. Il permet aussi de vérifier qu'un attribut donné a une valeur et qu'il est disponible lors de la création ou de la mise à jour des enregistrements de contact.
L'exemple suivant montre une sortie d'un d'un répertoire iPlanet :
pdm_ldap_test -a "*" -f sn=Account_1000001 2 LDAP records found... DN: cn=Account_1000001,ou=200K_Plus,o=SmartLabs sn(15)(0): Account_1000001 objectClass(13)(0): inetOrgPerson objectClass(20)(1): organizationalPerson objectClass(6)(2): Person objectClass(18)(3): ndsLoginProperties objectClass(3)(4): Top DN: cn=Account_1000001,ou=2_Plus,o=SmartLabs mail(28)(0): ThisIsTheMailingAddressField uid(13)(0): Login_1000001 givenName(17)(0): GivenNameOfPerson sn(15)(0): Account_1000001 objectClass(13)(0): inetOrgPerson objectClass(20)(1): organizationalPerson objectClass(6)(2): Person objectClass(18)(3): ndsLoginProperties objectClass(3)(4): Top
L'exemple suivant montre une sortie d'un répertoire Active Directory :
Ldap_test - a "*" - f (&(sn=Brown)(initials=A))" 1 LDAP records found... DN: CN=John A. Smith,CN=Users,DC=mycontroller,DC=xyz,DC=com objectClass(3)(0): top objectClass(6)(1): person objectClass(20)(2): organizationalPerson objectClass(4)(3): user cn(16)(0): John A. Smith sn(5)(0): Brown givenName(7)(0): John initials(1)(0): A distinguishedName(55)(0): CN=John A. Smith,CN=Users,DC=mycontroller,DC=xyz,DC=com displayName(16)(0): John A. Smith memberOf(52)(0): CN=Domain Admins,CN=Users,DC=mycontroller,DC=xyz,DC=com sAMAccountName(7)(0): smijo04 userPrincipalName(25)(0): [email protected] objectCategory(63)(0): CN=Person,CN=Schema,CN=Configuration,DC=mycontroller,DC=xyz,DC=com
Restriction de la recherche
Utilisez le paramètre de -f avec la commande de pdm_ldap_test pour spécifier un filtre à être ajouté au filtre de la base pour affiner les critères de recherche. Vous devez utiliser la syntaxe LDAP et les noms d’attributs du schéma LDAP appropriés dans votre filtre. Veillez à toujours encadrer votre filtre de guillemets doubles et utilisez des parenthèses pour clarifier l'ordre de priorité des opérateurs.
Par exemple, utilisez la commande suivante pour rechercher tous les enregistrements dans lesquels sn=Account_10001 :
pdm_ldap_test - f "(sn=Account_10001)"
L'utilitaire pdm_ldap_test prend en charge les opérateurs d'égalité suivants :
Opérateur d'égalité
Description
=
égal à
<=
inférieur ou égal à
>=
supérieur ou égal à
~=
comme
L'utilitaire pdm_ldap_test prend en charge les opérateurs booléens :
Opérateur booléen
Description
&
AND
|
OU
!
NOT
Le ET et OU les opérateurs affectent chaque ensemble de parenthèse () dans le filtre de recherche. Le NON seulement affecte le premier ensemble de parenthèses. Placez toujours ces opérateurs
avant
filtres de recherche auxquels ils s'appliquent (et non pas entre ces derniers). Ils peuvent également être appliqués à plusieurs filtres, comme le montrent les exemples ci-dessous :
"(&(sn=Brown)(initials=A)) " "(|(sn=Brown)(sn=Smith))" "(!sn=Brown)"