Verifica delle connessioni alle directory LDAP

Questo articolo contiene i seguenti argomenti:
casm173
Questo articolo contiene i seguenti argomenti:
Utilizzare l'utilità della riga di comando pdm_ldap_test per verificare la connessione ad una directory LDAP, che le opzioni di ricerca siano configurate correttamente e la configurazione TLS.
Per impostazione predefinita, pdm_ldap_test utilizza le impostazioni dei parametri immesse nel file $NX_ROOT/NX.env al momento dell'installazione, della modifica o della disinstallazione delle opzioni LDAP. Per ignorare le impostazioni predefinite, è possibile specificare i parametri alla riga di comando di pdm_ldap_test.
Per verificare i parametri disponibili per il comando, immettere il seguente comando:
pdm_ldap_test -h
In UNIX, è necessario impostare LIBPATH per poter eseguire alcune utilità di CA SDM. Utilizzare
pdm_task
per impostare LIBPATH prima di eseguire un'utilità. Ad esempio, immettere "pdm_task pdm_clean_attachments ...".
Verifica della connessione al server LDAP
Per verificare la connessione al server LDAP, eseguire pdm_ldap_test senza parametri:
pdm_ldap_test
Connessione riuscita al server LDAP
Se la connessione ha esito positivo, l'output ricevuto sarà simile al seguente:
Starting pdm_ldap_test... LDAP service type=active directory Service Desk platform=windows Using search base=DC=mycontroller,DC=xyz,DC=com Using filter=(&(objectCategory=person)) ldap_init(myserver.mycontroller.xyz.com,389): (Success) ldap_bind_s(Administrator) (Success) LDAP API Verion 3
Visualizzazione dei parametri di ricerca
Per verificare che i parametri di ricerca siano configurati correttamente, eseguire pdm_ldap_test senza parametri:
pdm_ldap_test
Esecuzione corretta della ricerca
Se la ricerca viene eseguita correttamente, verrà restituito un output simile al seguente:
DN: CN=John A. Smith,CN=Users,DC=COMPUTERTEST c(2)(0): US displayName(14)(0): John A. Smith mail(14)(0): [email protected] givenName(4)(0): John initials(1)(0): a distinguishedName(38)(0): CN=John a. Smith,CN=Users,DC=COMPUTERTEST objectGUID(3)(0): 314738 pager(12)(0): ###-111-1111 postalCode(5)(0): 11111 SAMAccountName(7)(0): account02 sn(6)(0): Smith telephoneNumber(12)(0): ###-342-6265 userPrincipalName(16)(0): [email protected] DN: CN=Mike Johnson,CN=Users,DC=COMPUTERTEST displayName(10)(0): Mike Johnson givenName(4)(0): Mike distinguishedName(34)(0): CN=Mike Johnson,CN=Users,DC=COMPUTERTEST objectGUID(12)(0): 312328 SAMAccountName(7)(0): account03 sn(5)(0): Johnson userPrincipalName(16)(0): [email protected]
Come determinare i nomi di attributo contenenti valori
Utilizzare il parametro -a “*” e il parametro -f con il comando pdm_ldap_test per determinare quali attributi vengono definiti per i record di gruppi o utenti LDAP. Questo test è utile per determinare la presenza di attributi LDAP che è possibile associare agli attributi contatto e per verificare che uno specifico attributo contenga un valore e sia disponibile durante la creazione o l'aggiornamento dei record contatto.
Nel seguente esempio viene mostrato l'output di iPlanet Directory:
pdm_ldap_test -a "*" -f sn=Account_1000001 2 LDAP records found... DN: cn=Account_1000001,ou=200K_Plus,o=SmartLabs sn(15)(0): Account_1000001 objectClass(13)(0): inetOrgPerson objectClass(20)(1): organizationalPerson objectClass(6)(2): Person objectClass(18)(3): ndsLoginProperties objectClass(3)(4): Top DN: cn=Account_1000001,ou=2_Plus,o=SmartLabs mail(28)(0): ThisIsTheMailingAddressField uid(13)(0): Login_1000001 givenName(17)(0): GivenNameOfPerson sn(15)(0): Account_1000001 objectClass(13)(0): inetOrgPerson objectClass(20)(1): organizationalPerson objectClass(6)(2): Person objectClass(18)(3): ndsLoginProperties objectClass(3)(4): Top
Nel seguente esempio viene mostrato l'output di Active Directory:
Ldap_test - a "*" - f (&(sn=Brown)(initials=A))" 1 LDAP records found... DN: CN=John A. Smith,CN=Users,DC=mycontroller,DC=xyz,DC=com objectClass(3)(0): top objectClass(6)(1): person objectClass(20)(2): organizationalPerson objectClass(4)(3): user cn(16)(0): John A. Smith sn(5)(0): Brown givenName(7)(0): John initials(1)(0): A distinguishedName(55)(0): CN=John A. Smith,CN=Users,DC=mycontroller,DC=xyz,DC=com displayName(16)(0): John A. Smith memberOf(52)(0): CN=Domain Admins,CN=Users,DC=mycontroller,DC=xyz,DC=com sAMAccountName(7)(0): smijo04 userPrincipalName(25)(0): [email protected] objectCategory(63)(0): CN=Person,CN=Schema,CN=Configuration,DC=mycontroller,DC=xyz,DC=com
Limitazione della ricerca
Utilizzare il parametro -f con il comando pdm_ldap_test per specificare un filtro da aggiungere al filtro di base per limitare i criteri di ricerca. Nel filtro è necessario utilizzare la sintassi LDAP appropriata e i nomi di attributo dello schema LDAP. Racchiudere il filtro tra virgolette e utilizzare le parentesi per indicare l'ordine di precedenza dell'operatore.
Utilizzare ad esempio il comando seguente per ricercare tutti i record in cui sn=Account_10001:
pdm_ldap_test - f "(sn=Account_10001)"
L'utilità pdm_ldap_test supporta i seguenti operatori di uguaglianza:
Operatore di uguaglianza
Descrizione
=
uguale a
<=
minore di o uguale a
>=
maggiore di o uguale a
~=
simile a
L'utilità pdm_ldap_test supporta i seguenti operatori booleani:
Operatore booleano
Descrizione
&
E
|
oppure
!
NOT
Gli operatori AND e OR influenzano ogni set di parentesi () nel filtro di ricerca. L'operatore NOT influenza solo il primo set di parentesi. Questi operatori si trovano sempre
prima
dei filtri di ricerca e non tra di essi. Possono essere applicati ad un numero qualsiasi di filtri, come mostrato nei seguenti esempi:
"(&(sn=Brown)(initials=A)) " "(|(sn=Brown)(sn=Smith))" "(!sn=Brown)"