====== LDAP/SAMBA Kommandozeilen Tools (CLI) ======
* Auslesen des rootDSE Objektes. Zeigt LDAP Clients die Features und Dienste des LDAP Servers an, sofern diese danach Fragen.
ldapsearch -x -w 'passwort' -D 'cn=ldapmanager,dc=someou,dc=higherou,dc=de' -b "" -s base '+'
Anstatt ' -w passwort ' kann auch ' -W ' verwendet werden wenn man lieber interaktiv nach dem Passwort gefragt werden möchte.
* Importiert LDAP Inhalte aus der Ldif Datei DIREKT in die Datenbank des LDAP Servers. \\ **ACHTUNG: Slappadd darf nur bei ausgeschaltetem LDAP Server eingesetzt werden, da es wie bereits erwähnt DIREKT in die Datenbank des Servers schreibt**.
slapadd -v -u -c -l meintree.ldif
-v verbose
-u simulation - es werden keine Änderungen an der Datenbank unternommen
-c continue - Auf bei auftretenden Fehlern weiter machen
-l file.ldif - load, lade Dateiinhalt in den Server
* Auslesen des gesamten LDAP Datenbank-Inhaltes z.B. für Backup oder Migrations-Zwecke. Slapcat greift ebenfalls DIREKT auf die LDAP Datenbank des Servers zu. Da dies jedoch nur lesend stattfindet ist dies ausnahmsweise auch im laufenden Betrieb möglich.
slapcat > ldap-backup.ldif
* Auslesen alle LDAP Objecte und deren Attribute (OHNE OPERATIONAL Attribute)
ldapsearch -x -D 'cn=manager,dc=org' -w ldap
-x simple Bind - Einfache, nicht verschlüsselte Anmeldung am LDAP Server
-D 'cn=manager,dc=org' - "Username" bzw Objekt mit dem sich am LDAP server angemeldet wird. Es muss stets der komplette CN String angegeben werden.
-w passwort - übergibt dem Kommando direkt das dazu passende Passwort. Alternativ kann man -W verwenden um interaktiv nach dem Passwort gefragt zu werden.
* Nur bestimmte Attribute eines beliebigen Benutzerobjektes (uid=*) anzeigen lassen.
ldapsearch -x -D 'cn=manager,dc=org' –LLL -w ldap (uid=*) cn sn mail
-LLL unterdrückt die REMARKS in der Ausgabe
(uid=*) - ein FILTER auf Objekte mit Attribut "uid" und dem Wert "*" (beliebig)
cn sn mail - ist eine Liste der gewünschten Attributsnamen welche angezeigt werden sollen
* SLAPD Debugging: Um vom LDAP Server vernünftige Meldungen zu erhalten ist es oft erforderlich den DEBUG Mode z.b. auf der Console zu aktivieren. Dazu muss zunächst der LDAP Serverdienst beendet werden (/etc/init.d/slapd stop). Anschließend kann man den SLAPD manuell auf der Console mit dem "-d xxx" Switch starten. Welche Werte für xxx gültig sind kann man in der man page "man 5 slapd.conf" oder über den Aufruf "-d ?" erfahren. Mehrere Schlüsselworte kann man mit KOMMA seppariert angeben. z.B. -d stats,stats2,conn usw
slapd -d any -g openldap -u openldap -f /etc/ldap/slapd.conf
slapd -d -1 -g openldap -u openldap -f /etc/ldap/slapd.conf (ist identisch mit ANY)
slapd -d conns,trace,conf -g openldap -u openldap -f /etc/ldap/slapd.conf
slapd -d ? -g openldap -u openldap -f /etc/ldap/slapd.conf
* Client-Seitiges Debugging: Hier können anscheinend leider KEINE Schlüsselworte bei beim slapd verwendet werden, sondern nur numerische Werte. Welche gültig sind kann man aus der slapd man page "man 5 slapd.conf" erfahren. Oder man gibt "-d -1" (ANY) an um eine maximale Ausgabe zu erhalten.
ldapsearch -d -1 -x -D 'cn=manager,dc=org' -w ldap
===== SAMBA spezifische LDAP Tools =====
* Anzeigen von Gruppeninformationen / Mitgliedern einer SAMBA/Posix Gruppe
smbldap-groupshow "Domain Users"
smbldap-groupshow 'leitun*'
* Hinzufügen von Mitgliedern (wernera und cs) zur Samba/Posix Gruppe
smbldap-groupmod -m wernera,cs "Domain Users"
* Entfernen der Mitglieder "we" und "wernera" aus der Samba/Posix Gruppe "Domain Users"
smbldap-groupmod -x we,wernera "Domain Users"
* Ändern von Benutzerinformationen, Homedirectory, GCOS. Aufrufen ohne Optionen zeigt Kurzhilfe.
smbldap-usermod
* Erstellen einer "Domain-Security-Group" (Domänenweit, nimmt Benutzerkonten auf)
smbldap-groupadd -a TESTDomGruppe
* Benutzer-Informationen anzeigen (Samba/Posix Benutzer)
smbldap-usershow wernera
* Samba/Posix Benutzer anlegen
smbldap-useradd -a -m -B1 Newusername
-a es soll AUCH ein Windows(Samba)User sein
-m es wird umgehend ein Homedirectory angelegt und der Inhalt von /etc/skel hinein kopiert
-B1 Benutzer wird beim Login an Samba GEZWUNGEN sein Passwort zu ändern. Hat keine Auswirkungen auf die Linux Console.
--- //[[mail@awerner.myhome-server.de|Axel Werner]] 2011-01-01 23:32//