Mit dem Befehl ldapsearch kann man LDAP-Abfragen an einen LDAP-Server stellen und damit Verzeichnisinformationen ermitteln. Da die meisten Active Directory keine anonyme Anfragen erlauben, ben\u00f6tigt man ein Dienstkonto im Active Directory, das die n\u00f6tigen Rechte f\u00fcr die erforderlichen LDAP-Anfragen besitzt.<\/p>\n
Der grunds\u00e4tzliche Syntax einer LDAP-Abfrage mit ldapsearch lautet:<\/p>\n
ldapsearch -x -D „USERNAME@ADDOMAIN“ -w „DIENSTKONTOPASSWORT“ -b „searchbase“ -H LDAPSERVERURL „FILTER“ PROPERTY1 PROPERTY2 PROPERTYN<\/p>\n
-x = Use simple authentication instead of SASL
\n-D = Use the Distinguished Name binddn to bind to the LDAP directory
\n-w = Use passwd as the password for simple authentication
\n-b = Use searchbase as the starting point for the search instead of the default
\n-H = Specify URI(s) referring to the ldap server(s)<\/p>\n
FILTER = Die eigentliche LDAP-Abfrage
\nPROPERTYX = Propertys der Objekte, die im Ergebnis angezeigt werden sollen<\/p>\n
Beispiel:<\/p>\n
ldapsearch -x -D „ldap@domain.local“ -w „badladappasswort“ -b „dc=domain,dc=local“ -H „ldaps:\/\/dc.domain.local:636“ „(sn=USERNAME)“ description dn<\/p>\n
Obige Abfrage ermittelt die description und den dn des Accounts USERNAME.<\/p>\n
Um bei ldapsearch nicht immer alle Parameter f\u00fcr die Verbindung angeben zu m\u00fcssen, kann man in seinem Homeverzeichnis eine Datei namens .ldaprc anlegen.<\/p>\n
#Beispielinhalt:
\nURI ldaps:\/\/dc.domain.local:636 #Liste mit LDAP Servern (Parameter -H)
\nBASE dc=domain,dc=local #Search Base DN (Parameter -b)
\nBINDDN ldap@domain.local #Dienstkonto f\u00fcr die LDAP Verbindung (Parameter -D)
\nTLS_CACERT \/etc\/ssl\/certs\/rootca.pem #CA Zertifikat der Root CA des DC SSL Zertifikats<\/p>\n
Um nicht jedes Mal das Passwort f\u00fcr die Verbindung LDAP-Verbindung angeben zu m\u00fcssen, kann man eine Datei mit dem Passwort erstellen und diese bei ldapsearch mit der Option -y angeben.<\/p>\n