LDAP常用命令

什么是LDAP？

LDAP 全称：Lightweight Directory Access Protocol，即“轻量级目录访问协议”。它是基于X.500标准的轻量级目录访问协议。目录是一个为查询、浏览和搜索而优化的数据库，它成树状结构组织数据，类似文件目录一样。LDAP目录服务是由目录数据库和一套访问协议组成的系统。

• ldapadd

-x 进行简单认证
-D 用来绑定服务器的DN
-h 目录服务的地址
-w 绑定DN的密码
-f 使用ldif文件进行条目添加的文件

例：添加hive.ldif

ldapadd -x -w 123456 -D "cn=Manager,dc=yoyosys,dc=com" -f /root/hive.ldif

hive.ldif

dn: uid=hive,ou=People,dc=yoyosys,dc=com
cn: hive
sn: Linux
userPassword: 123456
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
loginShell: /bin/bash
uidNumber: 1017
gidNumber: 1019
homeDirectory: /home/hive

dn: cn=hive_group,ou=Group,dc=yoyosys,dc=com
objectClass: posixGroup
cn: hive_group
gidNumber: 1019
memberUid: hive

• ldapdelete

-x 进行简单认证
-D 用来绑定服务器的DN
-h 目录服务的地址
-w 绑定DN的密码
-f 使用ldif文件进行条目添加的文件

删除用户

ldapdelete -x -w 123456 -D "cn=Manager,dc=yoyosys,dc=com" "uid=hive,ou=People,dc=yoyosys,dc=com"

删除用户组

ldapdelete -x -w 123456 -D "cn=Manager,dc=yoyosys,dc=com" "cn=hive_group,ou=Group,dc=yoyosys,dc=com"

• ldapsearch

-x 进行简单认证
-D 用来绑定服务器的DN
-w 绑定DN的密码
-b 指定要查询的根节点
-H 制定要查询的服务器

查看所有用户信息

ldapsearch  -x -b "dc=yoyosys,dc=com" -H ldap://192.168.123.10

查看指定用户(hive)

ldapsearch -LLL -x -D "cn=Manager,dc=yoyosys,dc=com" -W -b "dc=yoyosys,dc=com" "uid=hive"

• ldappasswd

-x   进行简单认证
-D   用来绑定服务器的DN
-w   绑定DN的密码
-S   提示的输入密码
-s pass 把密码设置为pass
-a pass 设置old passwd为pass
-A   提示的设置old passwd
-H   是指要绑定的服务器
-I   使用sasl会话方式

设置新密码为654321

ldappasswd -x -D 'cm=Manager,dc=yoyosys,dc=com' -w secret 'uid=cdh,dc=yoyosys,dc=com' -s 65321

ldapmodify

-a 添加新的条目.缺省的是修改存在的条目.
-C 自动追踪引用.
-c 出错后继续执行程序并不中止.缺省情况下出错的立即停止.比如如果你的ldif 文
件内的某个条目在数据库内并不存在,缺省情况下程序立即退出,但如果使用了该参数,程
序忽略该错误继续执行.
-n 用于调试到服务器的通讯.但并不实际执行搜索.服务器关闭时,返回错误；服务器
打开时,常和-v 参数一起测试到服务器是否是一条通路.
-v 运行在详细模块.在标准输出中打出一些比较详细的信息.比如:连接到服务器的
ip 地址和端口号等.
-M[M] 打开manage DSA IT 控制. -MM 把该控制设置为重要的.
-f file 从文件内读取条目的修改信息而不是从标准输入读取.
-x 使用简单认证.
-D binddn 指定搜索的用户名(一般为一dn 值).
-W 指定了该参数,系统将弹出一提示入用户的密码.它和-w 参数相对使用.
-w bindpasswd 直接指定用户的密码. 它和-W 参数相对使用.
-H ldapuri 指定连接到服务器uri(ip 地址和端口号,常见格式为
ldap://hostname:port).如果使用了-H 就不能使用-h 和-p 参数.
-h ldaphost 指定要连接的主机的名称/ip 地址.它和-p 一起使用.
-p ldapport 指定要连接目录服务器的端口号.它和-h 一起使用.
如果使用了-h 和-p 参数就不能使用-H 参数.
-Z[Z] 使用StartTLS 扩展操作.如果使用-ZZ,命令强制使用StartTLS 握手成功.
-V 启用证书认证功能,目录服务器使用客户端证书进行身份验证,必须与-ZZ 强制启用
TLS 方式配合使用,并且匿名绑定到目录服务器.
-e 设置客户端证书文件,例: -e cert/client.crt
-E 设置客户端证书私钥文件,例: -E cert/client.key

ldapmodify -x -D "cn=Manger,dc=yoyosys,dc=com" -W -f update.ldif