TOC

So konfigurieren Sie OpenLDAP und führen administrative LDAP-Aufgaben durch

Einführung

Die Verwaltung eines OpenLDAP-Systems kann schwierig sein, wenn Sie nicht wissen, wie Sie Ihr System konfigurieren sollen oder wo Sie die wichtigen Informationen finden, die Sie benötigen. In diesem Handbuch wird gezeigt, wie Sie wichtige Informationen von Ihrem OpenLDAP-Server abfragen und Änderungen an Ihrem laufenden System vornehmen.

Voraussetzungen

Zu Beginn sollten Sie Zugriff auf ein System haben, auf dem OpenLDAP installiert und konfiguriert ist. Sie erfahren, wie Sie einen OpenLDAP-Server einrichten https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-openldap-and-phpldapadmin-on-an-ubuntu-14-04- Server [hier]. Sie sollten mit der grundlegenden Terminologie vertraut sein, die beim Arbeiten mit einem LDAP-Verzeichnisdienst verwendet wird. Dieses Handbuch kann verwendet werden, um sich mit diesen Themen vertraut zu machen.

OpenLDAP Online-Konfiguration

LDAP-Systeme organisieren die von ihnen gespeicherten Daten in hierarchischen Strukturen, die * Directory Information Trees * oder kurz * DITs * genannt werden. Ab Version 2.3 wird die eigentliche Konfiguration für OpenLDAP-Server in einer speziellen DIT verwaltet, die normalerweise auf einem Eintrag mit dem Namen "+ cn = config +" basiert.

Dieses Konfigurationssystem wird als OpenLDAP-Online-Konfiguration oder * OLC * bezeichnet. Im Gegensatz zur veralteten Konfigurationsmethode, bei der beim Start des Dienstes Konfigurationsdateien gelesen wurden, werden Änderungen am OLC sofort implementiert und erfordern häufig keinen Neustart des Dienstes.

Das OLC-System verwendet Standard-LDAP-Methoden zur Authentifizierung und Durchführung von Änderungen. Aus diesem Grund ist die Verwaltung für erfahrene LDAP-Administratoren häufig nahtlos, da sie dieselben Kenntnisse, Fähigkeiten und Tools verwenden können, die sie zum Betreiben der Daten-DITs verwenden. Für diejenigen, die LDAP noch nicht kennen, kann es jedoch schwierig sein, damit zu beginnen, da Sie möglicherweise wissen müssen, wie LDAP-Tools verwendet werden, um eine Lernumgebung zu konfigurieren.

In diesem Handbuch erhalten Sie eine Einführung in die grundlegende OpenLDAP-Administration, damit Sie sich mit LDAP und der Verwaltung Ihrer Systeme vertraut machen können.

Zugriff auf die Root-DSE

Wir werden zunächst über ein Konstrukt namens Root-DSE sprechen, das die Struktur ist, in der alle einzelnen DITs unseres Servers gespeichert sind. Dies ist im Grunde ein Eintrag, der zur Verwaltung aller dem Server bekannten DITs verwendet wird. Ab diesem Eintrag können wir den Server abfragen, um zu sehen, wie er organisiert ist, und um herauszufinden, wohin er als Nächstes gehen soll.

Wofür steht DSE?

Um die Root-DSE abzufragen, müssen wir eine Suche mit einer leeren (null) Suchbasis und einem Suchbereich von "base" durchführen. Der Basissuchbereich bedeutet, dass nur der angegebene Eintrag zurückgegeben wird. In der Regel wird dies verwendet, um die Suchtiefe zu begrenzen. Wenn Sie jedoch mit der Stamm-DSE arbeiten, ist dies erforderlich (bei Auswahl eines anderen Suchbereichs werden keine Informationen zurückgegeben).

Der Befehl, den wir brauchen, ist folgender:

ldapsearch -H ldap:// -x -s base -b "" -LLL "+"

Wir gehen davon aus, dass Sie dies vom LDAP-Server selbst ausführen und noch keine Zugriffsbeschränkungen eingerichtet haben. Die Ergebnisse sollten ungefähr so ​​aussehen:

Root-DSE-Ausgabe

dn:
structuralObjectClass: OpenLDAProotDSE
configContext: cn=config
namingContexts: dc=example,dc=com
supportedControl: 2.16.840.1.113730.3.4.18

. . .

supportedLDAPVersion: 3
supportedSASLMechanisms: GS2-IAKERB
supportedSASLMechanisms: GS2-KRB5
supportedSASLMechanisms: SCRAM-SHA-1
supportedSASLMechanisms: GSSAPI
supportedSASLMechanisms: DIGEST-MD5
supportedSASLMechanisms: NTLM
supportedSASLMechanisms: CRAM-MD5
entryDN:
subschemaSubentry: cn=Subschema

Wir haben die Ausgabe etwas gekürzt. Sie können die wichtigen Metadaten zu diesem LDAP-Server anzeigen. Wir werden gleich erläutern, was einige dieser Elemente bedeuten. Im Moment werfen wir einen Blick auf den Befehl, der diese Ausgabe generiert hat.

Der Befehl + -H ldap: // + wird verwendet, um eine unverschlüsselte LDAP-Abfrage auf dem lokalen Host anzugeben. Das "+ -x " ohne Authentifizierungsinformationen teilt dem Server mit, dass Sie eine anonyme Verbindung wünschen. Wir teilen ihm den Suchumfang mit und setzen die Suchbasis mit ` -s base -b" "` auf null. Wir unterdrücken einige überflüssige Ausgaben mit ` -LLL `. Schließlich gibt das "" + "+" an, dass die Betriebsattribute angezeigt werden sollen, die normalerweise ausgeblendet sind (hier finden Sie die erforderlichen Informationen).

Suchen Sie die DITs, die dieser Server verwaltet

Für unsere Zwecke versuchen wir jetzt herauszufinden, für welche DITs dieser spezielle LDAP-Server konfiguriert ist. Wir können das als den Wert des operativen Attributs + namingContexts + finden, den wir in der obigen Ausgabe sehen können.

Wenn dies die einzige Information wäre, die wir wollten, könnten wir eine bessere Abfrage erstellen, die so aussehen würde:

ldapsearch -H ldap:// -x -s base -b "" -LLL "namingContexts"

Hier haben wir das genaue Attribut aufgerufen, dessen Wert wir wissen möchten. Der Basiseintrag jeder DIT auf dem Server ist über das Attribut + namingContexts + verfügbar. Dies ist ein Betriebsattribut, das normalerweise ausgeblendet wird, aber durch das explizite Aufrufen kann es zurückgegeben werden.

Dadurch werden die anderen Informationen unterdrückt und wir erhalten eine saubere Ausgabe, die so aussieht:

namingContexts-Suche

dn:
namingContexts:

Wir können sehen, dass dieser LDAP-Server nur eine (Nicht-Management-) DIT hat, die auf einem Eintrag mit einem Distinguished Name (DN) von + dc = Beispiel, dc = com + verwurzelt ist. Es ist möglich, dass dies mehrere Werte zurückgibt, wenn der Server für zusätzliche DITs verantwortlich ist.

Suchen Sie die Konfiguration DIT

Das DIT, das zum Konfigurieren des OpenLDAP-Servers verwendet werden kann, wird bei der Suche nach "+ namingContexts " nicht zurückgegeben. Der Root-Eintrag der Konfigurations-DIT wird stattdessen in einem dedizierten Attribut mit dem Namen " configContext +" gespeichert.

Um den Basis-DN für die Konfigurations-DIT zu ermitteln, fragen Sie genau dieses Attribut wie zuvor ab:

ldapsearch -H ldap:// -x -s base -b "" -LLL "configContext"

Das Ergebnis wird wahrscheinlich Folgendes sein:

configContext-Suche

dn:
configContext:

Die Konfigurations-DIT basiert auf einem DN mit dem Namen "+ cn = config +". Da dies wahrscheinlich genau mit Ihrer Konfigurations-DIT übereinstimmt, wird dies im gesamten Handbuch verwendet. Ändern Sie die angegebenen Befehle, wenn sich Ihre Konfiguration von DIT unterscheidet.

Zugriff auf die Konfiguration DIT

Nachdem wir den Speicherort des Konfigurations-DIT kennen, können wir ihn abfragen, um die aktuellen Einstellungen anzuzeigen. Dazu müssen wir tatsächlich ein bisschen von dem Format abweichen, das wir bis jetzt verwendet haben.

Da dieses DIT zum Ändern der Einstellungen unseres LDAP-Systems verwendet werden kann, sind einige Zugriffssteuerungen vorhanden. Standardmäßig ist es so konfiguriert, dass die Administration für Root- oder "+ sudo +" - Benutzer des Betriebssystems zulässig ist.

Der Befehl, den wir brauchen, sieht folgendermaßen aus:

sudo ldapsearch -H ldapi:// -Y EXTERNAL -b "cn=config" -LLL -Q

Damit dies funktioniert, müssen Sie "+ sudo " vor dem Befehl verwenden und " -x " in unseren vorherigen " ldapsearch " -Befehlen durch " -Y EXTERNAL " ersetzen, um anzugeben, dass Sie eine SASL-Authentifizierungsmethode verwenden möchten . Sie müssen auch das Protokoll von " ldap: // " in " ldapi: // " ändern, um die Anfrage über einen Unix-Socket zu stellen. Auf diese Weise kann OpenLDAP den Betriebssystembenutzer überprüfen, der die Zugriffssteuerungseigenschaften auswerten muss. Wir verwenden dann den Eintrag " cn = config +" als Grundlage für unsere Suche.

Das Ergebnis ist eine lange Liste von Einstellungen. Es kann hilfreich sein, es in einen Pager zu leiten, damit Sie leicht nach oben und unten scrollen können:

sudo ldapsearch -H ldapi:// -Y EXTERNAL -b "cn=config" -LLL -Q | less

Sie sehen, dass es viele Informationen gibt, die viel zu verarbeiten sind. Dieser Befehl druckte den gesamten Konfigurationsbaum aus. Um einen besseren Überblick über die Hierarchie zu erhalten, in der die Informationen organisiert und gespeichert sind, drucken wir stattdessen einfach die verschiedenen Eintrags-DNs aus:

sudo ldapsearch -H ldapi:// -Y EXTERNAL -b "cn=config" -LLL -Q dn

Dies ist eine übersichtlichere Liste, in der anstelle des gesamten Inhalts die Eintragstitel (DNs) selbst angezeigt werden:

cn = Konfigurations-Eintrags-DNs

dn: cn=config

dn: cn=module{0},cn=config

dn: cn=schema,cn=config

dn: cn={0}core,cn=schema,cn=config

dn: cn={1}cosine,cn=schema,cn=config

dn: cn={2}nis,cn=schema,cn=config

dn: cn={3}inetorgperson,cn=schema,cn=config

dn: olcBackend={0}hdb,cn=config

dn: olcDatabase={-1}frontend,cn=config

dn: olcDatabase={0}config,cn=config

dn: olcDatabase={1}hdb,cn=config

Diese Einträge stellen die Konfigurationshierarchie dar, in der verschiedene Bereiche des LDAP-Systems konfiguriert sind. Werfen wir einen Blick darauf, welche Einstellungen von den einzelnen Einträgen behandelt werden:

Der Eintrag auf oberster Ebene enthält einige globale Einstellungen, die für das gesamte System gelten (sofern sie nicht in einem genaueren Kontext überschrieben werden). Sie können sehen, was in diesem Eintrag gespeichert ist, indem Sie Folgendes eingeben:

sudo ldapsearch -H ldapi:// -Y EXTERNAL -b "cn=config" -LLL -Q -s base

Allgemeine Elemente in diesem Abschnitt sind globale Autorisierungseinstellungen, Ausführlichkeitseinstellungen auf Protokollebene, ein Zeiger auf den Speicherort der PID-Datei des Prozesses und Informationen zur SASL-Authentifizierung.

Die Einträge darunter konfigurieren spezifischere Bereiche des Systems. Werfen wir einen Blick auf die verschiedenen Arten von Einträgen, die Sie wahrscheinlich sehen werden.

Admin-Eintrag suchen

Nachdem Sie nun Zugriff auf das DIET "+ cn = config" haben, können wir die Wurzeln aller DITs auf dem System finden. Ein rootDN ist im Grunde der administrative Eintrag. Wir können auch das Passwort (normalerweise gehasht) finden, mit dem Sie sich bei diesem Konto anmelden können.

Geben Sie Folgendes ein, um den rootDN für jede Ihrer DITs zu ermitteln:

sudo ldapsearch -H ldapi:// -Y EXTERNAL -b "cn=config" "(olcRootDN=*)" olcSuffix olcRootDN olcRootPW -LLL -Q

Sie erhalten einen Ausdruck, der ungefähr so ​​aussieht:

rootDN-Informationen

dn: olcDatabase={1}hdb,cn=config
olcSuffix: dc=example,dc=com
olcRootDN: cn=admin,dc=example,dc=com
olcRootPW: {SSHA}AOADkATWBqb0SJVbGhcIAYF+ePzQJmW+

Wenn Ihr System mehrere DITs bedient, sollte für jeden ein Block angezeigt werden. Hier sehen wir, dass unser Admin-Eintrag "+ cn = admin, dc = example, dc = com " für die DIT ist, die auf " dc = example, dc = com +" basiert. Wir können auch ein gehashtes Passwort sehen.

Schema-Informationen anzeigen

LDAP-Schemata definieren die ObjectClasses und Attribute, die dem System zur Verfügung stehen. Zur Laufzeit können dem System Schemata hinzugefügt werden, um verschiedene Objekttypen und Attribute zur Verfügung zu stellen. Bestimmte Eigenschaften sind jedoch in das System selbst integriert.

Anzeigen des integrierten Schemas

Das eingebaute Schema befindet sich im Eintrag + cn = schema, cn = config +. Sie können das im LDAP-System integrierte Schema anzeigen, indem Sie Folgendes eingeben:

sudo ldapsearch -H ldapi:// -Y EXTERNAL -b "cn=schema,cn=config" -s base -LLL -Q | less

Dies zeigt Ihnen das Schema, das im OpenLDAP-System selbst enthalten ist. Im Gegensatz zu jedem anderen Schema muss dieses nicht zum zu verwendenden System hinzugefügt werden.

Zusätzliches Schema anzeigen

Das integrierte Schema bietet einen schönen Ausgangspunkt, enthält jedoch wahrscheinlich nicht alle Informationen, die Sie in Ihren Einträgen verwenden möchten. Sie können Ihrem System über herkömmliche LDIF-Methoden ein zusätzliches Schema hinzufügen. Diese sind als Untereinträge unter dem Eintrag "+ cn = schema +" verfügbar, der das integrierte Schema darstellt.

Normalerweise werden diese mit einer Klammer gefolgt vom Schemanamen wie "+ cn = {0} core, cn = schema, cn = config +" benannt. Die Zahl in Klammern stellt einen Index dar, mit dem die Reihenfolge festgelegt wird, in der die Schemas in das System eingelesen werden. Dies wird normalerweise automatisch vom System durchgeführt, wenn sie hinzugefügt werden.

Um nur die Namen des zusätzlichen Schemas anzuzeigen, das auf das System geladen wurde, können Sie Folgendes eingeben:

sudo ldapsearch -H ldapi:// -Y EXTERNAL -b "cn=schema,cn=config" -s one -Q -LLL dn

Die Ausgabe zeigt die Namen der Untereinträge. Es kann ungefähr so ​​aussehen, je nachdem, was auf das System geladen wurde:

zusätzliche Schemata

dn: cn={0}core,cn=schema,cn=config

dn: cn={1}cosine,cn=schema,cn=config

dn: cn={2}nis,cn=schema,cn=config

dn: cn={3}inetorgperson,cn=schema,cn=config

Das Schema selbst und die zugewiesene Indexnummer können variieren. Sie können den Inhalt eines bestimmten Schemas anzeigen, indem Sie eine Basissuche durchführen und das gewünschte Schema auflisten. Wenn wir zum Beispiel das oben aufgeführte Schema + cn = {3} inetorgperson + sehen möchten, könnten wir Folgendes eingeben:

sudo ldapsearch -H ldapi:// -Y EXTERNAL -b "" -s base -LLL -Q | less

Wenn Sie das gesamte zusätzliche Schema drucken möchten, geben Sie stattdessen Folgendes ein:

sudo ldapsearch -H ldapi:// -Y EXTERNAL -b "cn=schema,cn=config" -s one -LLL -Q | less

Wenn Sie das gesamte Schema einschließlich des integrierten Schemas ausdrucken möchten, verwenden Sie stattdessen Folgendes:

sudo ldapsearch -H ldapi:// -Y EXTERNAL -b "cn=schema,cn=config" -LLL -Q | less

Module, Backends und Datenbankeinstellungen

Einige andere Bereiche, die für die Konfiguration von DIT von Interesse sind, sind Module und die verschiedenen Einstellungen der Speichertechnologie.

Module

Mit Modulen wird die Funktionalität des OpenLDAP-Systems erweitert. Diese Einträge werden verwendet, um auf Module zu verweisen und diese zu laden, um deren Funktionalität zu nutzen. Die eigentliche Konfiguration erfolgt über andere Einträge.

Einträge, die zum Laden von Modulen verwendet werden, beginnen mit + cn = module {#} +, wobei die Klammer eine Nummer enthält, um das Laden von Modulen zu ordnen und zwischen den verschiedenen Einträgen zu unterscheiden.

Sie können die Module anzeigen, die dynamisch in das System geladen werden, indem Sie Folgendes eingeben:

sudo ldapsearch -H ldapi:// -Y EXTERNAL -b "cn=config" -LLL -Q "objectClass=olcModuleList"

Sie sehen die Module, die aktuell in das System geladen sind:

geladene Module

dn: cn=module{0},cn=config
objectClass: olcModuleList
cn: module{0}
olcModulePath: /usr/lib/ldap
olcModuleLoad: {0}back_hdb

In diesem Beispiel gibt es nur ein einziges Modul, mit dem wir das Backend-Modul + hdb + verwenden können.

Backends

Backend-Einträge werden verwendet, um die Speichertechnologie anzugeben, die den Datenspeicher tatsächlich verwaltet.

Um zu sehen, welche Backends für Ihr System aktiv sind, geben Sie Folgendes ein:

sudo ldapsearch -H ldapi:// -Y EXTERNAL -b "cn=config" -LLL -Q "objectClass=olcBackendConfig"

Das Ergebnis gibt Ihnen einen Eindruck von der verwendeten Speichertechnologie. Es könnte ungefähr so ​​aussehen:

Aktive OpenLDAP-Backends

dn: olcBackend={0}hdb,cn=config
objectClass: olcBackendConfig
olcBackend: {0}hdb

Datenbanken

Die eigentliche Konfiguration dieser Speichersysteme erfolgt in separaten Datenbankeinträgen. Für jedes DIT, das von einem OpenLDAP-System bedient wird, sollte ein Datenbankeintrag vorhanden sein. Die verfügbaren Attribute hängen vom für jede Datenbank verwendeten Backend ab.

Geben Sie Folgendes ein, um alle Namen der Datenbankeinträge im System anzuzeigen:

sudo ldapsearch -H ldapi:// -Y EXTERNAL -b "cn=config" -LLL -Q "olcDatabase=*" dn

Sie sollten die DNs der Datenbankeinträge sehen:

Datenbankeinträge

dn: olcDatabase={-1}frontend,cn=config

dn: olcDatabase={0}config,cn=config

dn: olcDatabase={1}hdb,cn=config

Lassen Sie uns ein wenig darüber diskutieren, wofür diese verwendet werden:

  • * + olcDatabase = {- 1} frontend, cn = config + *: Mit diesem Eintrag werden die Funktionen der speziellen "Frontend" -Datenbank definiert. Dies ist eine Pseudodatenbank, mit der globale Einstellungen definiert werden, die für alle anderen Datenbanken gelten sollen (sofern sie nicht überschrieben werden).

  • * + olcDatabase = {0} config, cn = config + *: Mit diesem Eintrag werden die Einstellungen für die derzeit verwendete Datenbank + cn = config + definiert. In den meisten Fällen handelt es sich dabei hauptsächlich um Einstellungen für die Zugriffssteuerung, die Replikationskonfiguration usw.

  • * + olcDatabase = {1} hdb, cn = config + *: Dieser Eintrag definiert die Einstellungen für eine Datenbank des angegebenen Typs (in diesem Fall + hdb +). Diese definieren normalerweise Zugriffssteuerungen, Details zum Speichern, Zwischenspeichern und Puffern der Daten sowie den Stammeintrag und administrative Details der DIT.

Die Zahlen in Klammern stehen für einen Indexwert. Sie werden hauptsächlich automatisch vom System erstellt. Sie müssen den Wert, der dem Eintrag zugewiesen wurde, ersetzen, um ihn erfolgreich zu referenzieren.

Sie können den Inhalt dieser Einträge anzeigen, indem Sie Folgendes eingeben:

sudo ldapsearch -H ldapi:// -Y EXTERNAL -b "" -LLL -Q -s base | less

Verwenden Sie die vom vorherigen Befehl zurückgegebenen Eintrags-DNs, um das Feld "++" auszufüllen.

Betriebsattribute (Metadaten) eines Eintrags drucken

Bisher haben wir hauptsächlich mit dem + cn = config DIR gearbeitet. Der Rest dieses Handbuchs gilt auch für reguläre DITs.

Jeder Eintrag verfügt über Betriebsattribute, die als administrative Metadaten fungieren. Auf diese kann in jedem DIT zugegriffen werden, um wichtige Informationen zum Eintrag zu erhalten.

Um alle Betriebsattribute eines Eintrags auszudrucken, können Sie nach dem Eintrag das Sonderattribut „“ angeben. Um beispielsweise die Betriebsattribute eines Eintrags unter ` dc = example, dc = com +` auszudrucken, könnten wir Folgendes eingeben:

ldapsearch -H ldap:// -x -s base -b "dc=example,dc=com" -LLL "+"

Dadurch werden alle Betriebsattribute ausgedruckt. Es wird wahrscheinlich ungefähr so ​​aussehen:

[list operational attributes]
dn: dc=example,dc=com
structuralObjectClass: organization
entryUUID: cdc658a2-8c3c-1034-8645-e30b83a2e38d
creatorsName: cn=admin,dc=example,dc=com
createTimestamp: 20150511151904Z
entryCSN: 20150511151904.220840Z#000000#000#000000
modifiersName: cn=admin,dc=example,dc=com
modifyTimestamp: 20150511151904Z
entryDN: dc=example,dc=com
subschemaSubentry: cn=Subschema
hasSubordinates: TRUE

Dies kann unter anderem hilfreich sein, um zu sehen, wer zu welchem ​​Zeitpunkt einen Eintrag geändert oder erstellt hat.

Arbeiten mit dem Teilschema

Das Teilschema ist eine Darstellung der verfügbaren Klassen und Attribute. Es zeigt ähnliche Informationen wie die Schemaeinträge im DIET "+ cn = config" mit einigen zusätzlichen Informationen. Dies ist über reguläre, nicht konfigurierte DITs möglich, sodass kein Root-Zugriff erforderlich ist.

Das Teilschema finden

Um das Teilschema für einen Eintrag zu finden, können Sie wie oben alle Betriebsattribute eines Eintrags abfragen, oder Sie können nach dem spezifischen Attribut fragen, das das Teilschema für den Eintrag definiert (+ subschemaSubentry +):

ldapsearch -H ldap:// -x -s base -b "dc=example,dc=com" -LLL subschemaSubentry

Dadurch wird der Teilschemaeintrag gedruckt, der dem aktuellen Eintrag zugeordnet ist:

[list subchema entry]
dn: dc=chilidonuts,dc=tk
subschemaSubentry:

Es ist üblich, dass jeder Eintrag in einem Baum dasselbe Teilschema aufweist, sodass Sie dies normalerweise nicht für jeden Eintrag abfragen müssen.

Anzeigen des Teilschemas

Um den Inhalt des Teilschemaeintrags anzuzeigen, müssen Sie den oben gefundenen Teilschemaeintrag mit dem Gültigkeitsbereich "base" abfragen. Alle wichtigen Informationen sind in Betriebsattributen gespeichert, daher müssen wir den speziellen "+" - Selektor erneut verwenden.

Der Befehl, den wir brauchen, ist:

ldapsearch -H ldap:// -x -s base -b "<^>cn=subschema" -LLL "+" | less

Dadurch wird der gesamte Teilschemaeintrag ausgedruckt. Wir können nach der Art der gesuchten Informationen filtern.

Wenn Sie die LDAP-Syntaxdefinitionen anzeigen möchten, können Sie filtern, indem Sie Folgendes eingeben:

ldapsearch -H ldap:// -x -s base -b "cn=subschema" -LLL ldapSyntaxes | less

Wenn Sie die Definitionen anzeigen möchten, die steuern, wie Suchvorgänge verarbeitet werden, um Einträge abzugleichen, geben Sie Folgendes ein:

ldapsearch -H ldap:// -x -s base -b "cn=subschema" -LLL matchingRules | less

Geben Sie Folgendes ein, um festzustellen, welche Elemente mit den Übereinstimmungsregeln abgeglichen werden können:

ldapsearch -H ldap:// -x -s base -b "cn=subschema" -LLL matchingRuleUse | less

Verwenden Sie zum Anzeigen der Definitionen für die verfügbaren Attributtypen Folgendes:

ldapsearch -H ldap:// -x -s base -b "cn=subschema" -LLL attributeTypes | less

Geben Sie Folgendes ein, um die objectClass-Definitionen anzuzeigen:

ldapsearch -H ldap:// -x -s base -b "cn=subschema" -LLL objectClasses | less

Fazit

Während des Betriebs eines OpenLDAP-Servers kann es zunächst schwierig erscheinen, die Konfigurations-DIT und das Auffinden von Metadaten im System kennenzulernen. Das Ändern von + cn = config + DIT mit LDIF-Dateien kann sich sofort auf das laufende System auswirken. Wenn Sie das System über ein DIT konfigurieren, können Sie möglicherweise die Remoteverwaltung nur mit LDAP-Tools einrichten. Dies bedeutet, dass Sie die LDAP-Verwaltung von der Server-Verwaltung trennen können.

Related