User Tools

Site Tools


it-artikel:linux:ldap-samba-kommandozeilen-tools-cli

LDAP/SAMBA Kommandozeilen Tools (CLI)

  • Auslesen des rootDSE Objektes. Zeigt LDAP Clients die Features und Dienste des LDAP Servers an, sofern diese danach Fragen.
    ldapsearch -x -w 'passwort' -D 'cn=ldapmanager,dc=someou,dc=higherou,dc=de' -b "" -s base '+'

    Anstatt ' -w passwort ' kann auch ' -W ' verwendet werden wenn man lieber interaktiv nach dem Passwort gefragt werden möchte.

  • Importiert LDAP Inhalte aus der Ldif Datei DIREKT in die Datenbank des LDAP Servers.
    ACHTUNG: Slappadd darf nur bei ausgeschaltetem LDAP Server eingesetzt werden, da es wie bereits erwähnt DIREKT in die Datenbank des Servers schreibt.
    slapadd -v -u -c -l meintree.ldif
    
    -v verbose
    -u simulation - es werden keine Änderungen an der Datenbank unternommen
    -c continue - Auf bei auftretenden Fehlern weiter machen
    -l file.ldif - load, lade Dateiinhalt in den Server
  • Auslesen des gesamten LDAP Datenbank-Inhaltes z.B. für Backup oder Migrations-Zwecke. Slapcat greift ebenfalls DIREKT auf die LDAP Datenbank des Servers zu. Da dies jedoch nur lesend stattfindet ist dies ausnahmsweise auch im laufenden Betrieb möglich.
    slapcat > ldap-backup.ldif
  • Auslesen alle LDAP Objecte und deren Attribute (OHNE OPERATIONAL Attribute)
    ldapsearch -x -D 'cn=manager,dc=org' -w ldap
    
    -x simple Bind - Einfache, nicht verschlüsselte Anmeldung am LDAP Server
    -D 'cn=manager,dc=org' - "Username" bzw Objekt mit dem sich am LDAP server angemeldet wird. Es muss stets der komplette CN String angegeben werden.
    -w passwort - übergibt dem Kommando direkt das dazu passende Passwort. Alternativ kann man -W verwenden um interaktiv nach dem Passwort gefragt zu werden.
  • Nur bestimmte Attribute eines beliebigen Benutzerobjektes (uid=*) anzeigen lassen.
    ldapsearch -x -D 'cn=manager,dc=org' –LLL -w ldap (uid=*) cn sn mail
    
    -LLL unterdrückt die REMARKS in der Ausgabe
    (uid=*) - ein FILTER auf Objekte mit Attribut "uid" und dem Wert "*" (beliebig)
    cn sn mail - ist eine Liste der gewünschten Attributsnamen welche angezeigt werden sollen
  • SLAPD Debugging: Um vom LDAP Server vernünftige Meldungen zu erhalten ist es oft erforderlich den DEBUG Mode z.b. auf der Console zu aktivieren. Dazu muss zunächst der LDAP Serverdienst beendet werden (/etc/init.d/slapd stop). Anschließend kann man den SLAPD manuell auf der Console mit dem “-d xxx” Switch starten. Welche Werte für xxx gültig sind kann man in der man page “man 5 slapd.conf” oder über den Aufruf “-d ?” erfahren. Mehrere Schlüsselworte kann man mit KOMMA seppariert angeben. z.B. -d stats,stats2,conn usw
    slapd -d any -g openldap -u openldap -f /etc/ldap/slapd.conf
    slapd -d -1 -g openldap -u openldap -f /etc/ldap/slapd.conf  (ist identisch mit ANY)
    
    slapd -d conns,trace,conf -g openldap -u openldap -f /etc/ldap/slapd.conf
    
    slapd -d ? -g openldap -u openldap -f /etc/ldap/slapd.conf
  • Client-Seitiges Debugging: Hier können anscheinend leider KEINE Schlüsselworte bei beim slapd verwendet werden, sondern nur numerische Werte. Welche gültig sind kann man aus der slapd man page “man 5 slapd.conf” erfahren. Oder man gibt “-d -1” (ANY) an um eine maximale Ausgabe zu erhalten.
    ldapsearch -d -1 -x -D 'cn=manager,dc=org' -w ldap

SAMBA spezifische LDAP Tools

  • Anzeigen von Gruppeninformationen / Mitgliedern einer SAMBA/Posix Gruppe
    smbldap-groupshow "Domain Users"
    smbldap-groupshow 'leitun*'
  • Hinzufügen von Mitgliedern (wernera und cs) zur Samba/Posix Gruppe
    smbldap-groupmod -m wernera,cs "Domain Users"
  • Entfernen der Mitglieder “we” und “wernera” aus der Samba/Posix Gruppe “Domain Users”
    smbldap-groupmod -x we,wernera "Domain Users"
  • Ändern von Benutzerinformationen, Homedirectory, GCOS. Aufrufen ohne Optionen zeigt Kurzhilfe.
    smbldap-usermod 
  • Erstellen einer “Domain-Security-Group” (Domänenweit, nimmt Benutzerkonten auf)
    smbldap-groupadd -a TESTDomGruppe
  • Benutzer-Informationen anzeigen (Samba/Posix Benutzer)
    smbldap-usershow wernera
  • Samba/Posix Benutzer anlegen
    smbldap-useradd -a -m -B1 Newusername
    
    -a es soll AUCH ein Windows(Samba)User sein
    -m es wird umgehend ein Homedirectory angelegt und der Inhalt von /etc/skel hinein kopiert
    -B1 Benutzer wird beim Login an Samba GEZWUNGEN sein Passwort zu ändern. Hat keine Auswirkungen auf die Linux Console.

Axel Werner 2011-01-01 23:32

it-artikel/linux/ldap-samba-kommandozeilen-tools-cli.txt · Last modified: 2022-08-31 12:30 by 127.0.0.1