====== LDAP/SAMBA Kommandozeilen Tools (CLI) ======

  * Auslesen des rootDSE Objektes. Zeigt LDAP Clients die Features und Dienste des LDAP Servers an, sofern diese danach Fragen.<code>
ldapsearch -x -w 'passwort' -D 'cn=ldapmanager,dc=someou,dc=higherou,dc=de' -b "" -s base '+'
</code> Anstatt ' -w passwort ' kann auch ' -W ' verwendet werden wenn man lieber interaktiv nach dem Passwort gefragt werden möchte.
  * Importiert LDAP Inhalte aus der Ldif Datei DIREKT in die Datenbank des LDAP Servers. \\ **ACHTUNG: Slappadd darf nur bei ausgeschaltetem LDAP Server eingesetzt werden, da es wie bereits erwähnt DIREKT in die Datenbank des Servers schreibt**.<code>
slapadd -v -u -c -l meintree.ldif

-v verbose
-u simulation - es werden keine Änderungen an der Datenbank unternommen
-c continue - Auf bei auftretenden Fehlern weiter machen
-l file.ldif - load, lade Dateiinhalt in den Server
</code>
  * Auslesen des gesamten LDAP Datenbank-Inhaltes z.B. für Backup oder Migrations-Zwecke. Slapcat greift ebenfalls DIREKT auf die LDAP Datenbank des Servers zu. Da dies jedoch nur lesend stattfindet ist dies ausnahmsweise auch im laufenden Betrieb möglich.<code>
slapcat > ldap-backup.ldif
</code>
  * Auslesen alle LDAP Objecte und deren Attribute (OHNE OPERATIONAL Attribute)<code>
ldapsearch -x -D 'cn=manager,dc=org' -w ldap

-x simple Bind - Einfache, nicht verschlüsselte Anmeldung am LDAP Server
-D 'cn=manager,dc=org' - "Username" bzw Objekt mit dem sich am LDAP server angemeldet wird. Es muss stets der komplette CN String angegeben werden.
-w passwort - übergibt dem Kommando direkt das dazu passende Passwort. Alternativ kann man -W verwenden um interaktiv nach dem Passwort gefragt zu werden.
</code>
  * Nur bestimmte Attribute eines beliebigen Benutzerobjektes (uid=*) anzeigen lassen.<code>
ldapsearch -x -D 'cn=manager,dc=org' –LLL -w ldap (uid=*) cn sn mail

-LLL unterdrückt die REMARKS in der Ausgabe
(uid=*) - ein FILTER auf Objekte mit Attribut "uid" und dem Wert "*" (beliebig)
cn sn mail - ist eine Liste der gewünschten Attributsnamen welche angezeigt werden sollen
</code>
  * SLAPD Debugging: Um vom LDAP Server vernünftige Meldungen zu erhalten ist es oft erforderlich den DEBUG Mode z.b. auf der Console zu aktivieren. Dazu muss zunächst der LDAP Serverdienst beendet werden (/etc/init.d/slapd stop). Anschließend kann man den SLAPD manuell auf der Console mit dem "-d xxx" Switch starten. Welche Werte für xxx gültig sind kann man in der man page "man 5 slapd.conf" oder über den Aufruf "-d ?" erfahren. Mehrere Schlüsselworte kann man mit KOMMA seppariert angeben. z.B. -d stats,stats2,conn usw <code>
slapd -d any -g openldap -u openldap -f /etc/ldap/slapd.conf
slapd -d -1 -g openldap -u openldap -f /etc/ldap/slapd.conf  (ist identisch mit ANY)

slapd -d conns,trace,conf -g openldap -u openldap -f /etc/ldap/slapd.conf

slapd -d ? -g openldap -u openldap -f /etc/ldap/slapd.conf
</code>
  * Client-Seitiges Debugging: Hier können anscheinend leider KEINE Schlüsselworte bei beim slapd verwendet werden, sondern nur numerische Werte. Welche gültig sind kann man aus der slapd man page "man 5 slapd.conf" erfahren. Oder man gibt "-d -1" (ANY) an um eine maximale Ausgabe zu erhalten.<code>
ldapsearch -d -1 -x -D 'cn=manager,dc=org' -w ldap
</code>





===== SAMBA spezifische LDAP Tools =====
  * Anzeigen von Gruppeninformationen / Mitgliedern einer SAMBA/Posix Gruppe<code>
smbldap-groupshow "Domain Users"
smbldap-groupshow 'leitun*'
</code>
  * Hinzufügen von Mitgliedern (wernera und cs) zur Samba/Posix Gruppe<code>
smbldap-groupmod -m wernera,cs "Domain Users"
</code>
  * Entfernen der Mitglieder "we" und "wernera" aus der Samba/Posix Gruppe "Domain Users"<code>
smbldap-groupmod -x we,wernera "Domain Users"
</code>
  * Ändern von Benutzerinformationen, Homedirectory, GCOS. Aufrufen ohne Optionen zeigt Kurzhilfe.<code>
smbldap-usermod 
</code>
  * Erstellen einer "Domain-Security-Group" (Domänenweit, nimmt Benutzerkonten auf)<code>
smbldap-groupadd -a TESTDomGruppe
</code>
  * Benutzer-Informationen anzeigen (Samba/Posix Benutzer)<code>
smbldap-usershow wernera
</code>
  * Samba/Posix Benutzer anlegen<code>
smbldap-useradd -a -m -B1 Newusername

-a es soll AUCH ein Windows(Samba)User sein
-m es wird umgehend ein Homedirectory angelegt und der Inhalt von /etc/skel hinein kopiert
-B1 Benutzer wird beim Login an Samba GEZWUNGEN sein Passwort zu ändern. Hat keine Auswirkungen auf die Linux Console.
</code>

 --- //[[mail@awerner.myhome-server.de|Axel Werner]] 2011-01-01 23:32//