Red Hat Summit第4章 LDAP 検索 (ldapsearch) の例
以下に、ディレクトリー内の検索に使用される一般的な `ldapsearch` の例を示します。
前提条件
- ディレクトリー内のすべてのエントリーの検索を実行する。
-
検索および読み取り操作に対する匿名アクセスをサポートするようにディレクトリーを設定している。したがって、コマンドで
-Wおよび-Dオプションを使用してバインド情報を指定する必要はありません。For more information on anonymous access, see Granting anonymous access. - サーバーがデフォルトのポート番号 389 を使用している。ポート番号を検索要求で指定する必要はありません。
-
サーバーのホスト名が、
server.example.comである。 -
デフォルトの LDAPS ポート番号であるポート
636でサーバーの TLS を有効にしている。 -
Directory Server が、すべてのデータを
dc=example,dc=com接尾辞の下に保存している。
すべてのエントリーを返す検索
次の LDAP 検索では、ディレクトリー内のすべてのエントリーが返されます。
ldapsearch -H ldap://server.example.com -b "dc=example,dc=com" -s sub -x "(objectclass=*)"
# ldapsearch -H ldap://server.example.com -b "dc=example,dc=com" -s sub -x "(objectclass=*)"
(objectclass=*) 検索フィルターを使用すると、ディレクトリー内のすべてのエントリーが返されます。各エントリーにはオブジェクトクラスが必要で、objectclass 属性には常にインデックスが付けられます。
コマンドラインでの検索フィルターの指定
フィルターを引用符で囲む ("filter") ことにより、検索フィルターをコマンドで直接指定できます。コマンドでフィルターを指定する場合は、-f オプションを指定しないでください。たとえば、"cn=babs jensen" を指定するには、次のように入力します。
ldapsearch -H ldap://server.example.com -b "dc=example,dc=com" -s sub -x "cn=babs jensen"
# ldapsearch -H ldap://server.example.com -b "dc=example,dc=com" -s sub -x "cn=babs jensen"ルート DSE エントリーの検索
ルート DSE は、ローカルの Directory Server がサポートするすべての接尾辞を含む、ディレクトリーサーバーのインスタンスに関する情報が含まれる特別なエントリーです。このエントリーを検索するには、検索ベース ""、検索範囲 base、およびフィルター "objectclass=*" を指定します。次に例を示します。
ldapsearch -H ldap://server.example.com -x -b "" -s base "objectclass=*"
# ldapsearch -H ldap://server.example.com -x -b "" -s base "objectclass=*"スキーマエントリーの検索
cn=schema エントリーは、オブジェクトクラスや属性タイプなどのディレクトリースキーマに関する情報が含まれる特別なエントリーです。
cn=schema エントリーの内容をリスト表示するには、次のコマンドのいずれかを入力します。
ldapsearch -x -o ldif-wrap=no -b "cn=schema" \ '(objectClass=subSchema)' -s sub objectClasses attributeTypes matchingRules \ matchingRuleUse dITStructureRules nameForms ITContentRules ldapSyntaxes
# ldapsearch -x -o ldif-wrap=no -b "cn=schema" \ '(objectClass=subSchema)' -s sub objectClasses attributeTypes matchingRules \ matchingRuleUse dITStructureRules nameForms ITContentRules ldapSyntaxesまたは
ldapsearch -x -o ldif-wrap=no -b "cn=schema" \ '(objectClass=subSchema)' -s sub "+"
# ldapsearch -x -o ldif-wrap=no -b "cn=schema" \ '(objectClass=subSchema)' -s sub "+"LDAP_BASEDN 変数の使用
検索を簡略化するために、LDAP_BASEDN 環境変数を使用して検索ベースを設定できます。ldapsearch コマンドで -b オプションを使用する代わりに、LDAP_BASEDN を設定できます。環境変数の設定の詳細は、オペレーティングシステムのドキュメントを参照してください。
LDAP_BASEDN をディレクトリーの接尾辞の値に設定します。ディレクトリーの接尾辞はディレクトリーのルートエントリーと等しいため、すべての検索はディレクトリーのルートエントリーから始まります。
たとえば、LDAP_BASEDN 変数を dc=example,dc=com に設定し、ディレクトリー内の cn=babs jensen を検索するには、次のように入力します。
export LDAP_BASEDN="dc=example,dc=com" ldapsearch -H ldap://server.example.com -x "cn=babs jensen"
# export LDAP_BASEDN="dc=example,dc=com"
# ldapsearch -H ldap://server.example.com -x "cn=babs jensen"
スコープを指定する -s オプションが指定されていないため、このコマンドはデフォルトのスコープである sub を使用します。
属性のサブセットの表示
ldapsearch コマンドは、すべての検索結果を LDIF 形式で返します。デフォルトでは、ldapsearch はエントリーの識別名 (DN) と、ユーザーが読み取りを許可されているすべての属性を返します。ディレクトリーアクセス制御は、指定したディレクトリーエントリーの属性のサブセットのみをユーザーが読み取ることができるように設定できます。
Directory Server は、デフォルトでは操作属性を返しません。検索操作の結果として操作属性を返すには、検索コマンドでこれらの属性を明示的に指定するか、すべての操作属性を返すように + 引数を使用します。詳細は、操作属性の検索 を参照してください。
コマンドラインで検索フィルターの後に必要な属性を指定することで、返される属性をいくつかの特定の属性に限定できます。
たとえば、ディレクトリー内のすべてのエントリーの cn 属性と sn 属性を表示するには、次のように入力します。
ldapsearch -H ldap://server.example.com -b "dc=example,dc=com" -s sub -x "(objectclass=*)" sn cn
# ldapsearch -H ldap://server.example.com -b "dc=example,dc=com" -s sub -x "(objectclass=*)" sn cn 操作属性の検索
操作属性は、Directory Server 自体が設定する特別な属性です。Directory Server は、操作属性を使用して、アクセス制御命令の処理などのメンテナンスタスクを実行します。これらの属性は、エントリーが最初に作成された時刻や作成したユーザーの名前など、エントリーに関する特定の情報を示します。
属性がエントリーのオブジェクトクラスに対して特別に定義されている場合でも、ディレクトリー内のすべてのエントリーで操作属性を使用できます。
通常の ldapsearch コマンドは操作属性を返しません。RFC3673 に従って、+ を使用して検索要求の操作属性をすべて返します。
ldapsearch -H ldap://server.example.com -b "dc=example,dc=com" -s sub -x "(objectclass=*)" '+'
# ldapsearch -H ldap://server.example.com -b "dc=example,dc=com" -s sub -x "(objectclass=*)" '+'
定義された特定の操作属性のみを返すには、ldapsearch リクエストに明示的に指定します。
ldapsearch -H ldap://server.example.com -b "dc=example,dc=com" -s sub -x "(objectclass=*)" creatorsName createTimestamp modifiersName modifyTimestamp
# ldapsearch -H ldap://server.example.com -b "dc=example,dc=com" -s sub -x "(objectclass=*)" creatorsName createTimestamp modifiersName modifyTimestamp 操作属性の完全なリストについては、操作属性とオブジェクトクラス を参照してください。
指定した操作属性とともにすべての通常のエントリー属性を返すには、指定した操作属性に加えて、特別な検索属性 "*" を使用してください。
ldapsearch -H ldap://server.example.com -b "dc=example,dc=com" -s sub -x "(objectclass=*)" "*" aci
# ldapsearch -H ldap://server.example.com -b "dc=example,dc=com" -s sub -x "(objectclass=*)" "*" aciシェルがアスタリスク (*) を解釈できないように、アスタリスク (*) を引用符で囲む必要があることに注意してください。
ファイルを使用した検索フィルターの指定
検索フィルターは、コマンドラインに入力する代わりに、ファイルで指定できます。
ファイル内の個別の行に各検索フィルターを指定します。ldapsearch コマンドは、ファイルに表示される順序で各検索を実行します。
たとえば、ファイルには以下のフィルターが含まれます。
sn=example givenname=user
sn=example
givenname=user
ldapsearch コマンドは、最初に、surname が example に設定されているすべてのエントリーを検索し、次に、givenname が user に設定されているすべてのエントリーを検索します。検索要求で両方の検索基準に一致するエントリーが見つかった場合、そのエントリーは 2 回返されます。
次の検索では、フィルターは searchdb という名前のファイルで指定されます。
ldapsearch -H ldap://server.example.com -x -f searchdb
# ldapsearch -H ldap://server.example.com -x -f searchdb
検索行の末尾に属性名を指定することで、返される属性のセットを制限できます。たとえば、以下の ldapsearch コマンドは両方の検索を実行しますが、各エントリーの DN、givenname および sn 属性のみが返されます。
ldapsearch -H ldap://server.example.com -x -f searchdb sn givenname
# ldapsearch -H ldap://server.example.com -x -f searchdb sn givenname検索フィルターでコンマを含む DN の指定
検索フィルター内の DN の値の一部としてコンマが含まれている場合、検索コマンドはバックスラッシュ (\) でコンマをエスケープする必要があります。たとえば、example.com Bolivia, S.A. サブツリー内で全員を検索するには、次のように入力します。
ldapsearch -H ldap://server.example.com -x -s base -b "l=Bolivia\, S.A.,dc=example,dc=com" "objectclass=*"
# ldapsearch -H ldap://server.example.com -x -s base -b "l=Bolivia\, S.A.,dc=example,dc=com" "objectclass=*"フィルターでの nsRole 仮想属性の使用
次の例では、ldapsearch コマンドは、managed_role 値に設定された nsrole 属性を含むすべてのユーザーエントリーの DN を検索します。
ldapsearch -H ldap://server.example.com -x -b "dc=example,dc=com" "(nsrole=cn=managed_role,dc=example,dc=com)" dn
# ldapsearch -H ldap://server.example.com -x -b "dc=example,dc=com" "(nsrole=cn=managed_role,dc=example,dc=com)" dnクライアント証明書の Directory Server へのバインド
証明書ベースの認証の詳細は、証明書ベースの認証の設定 を参照してください。
言語マッチングルールでの検索
検索フィルターでマッチングルールを明示的に送信するには、属性の後にマッチングルールを挿入します。
attr:matchingRule:=value
attr:matchingRule:=value
マッチングルールは、国際化されたディレクトリーの検索に頻繁に使用されます。次のコマンドは、スウェーデン語 (2.16.840.1.113730.3.3.2.46.1) のマッチングルールで N4709 以降の部署番号を検索します。
departmentNumber:2.16.840.1.113730.3.3.2.46.1:=>= N4709
departmentNumber:2.16.840.1.113730.3.3.2.46.1:=>= N4709国際化された検索を実行するその他の例については、国際化されたディレクトリーの検索 を参照してください。
ユーザーが所属するグループを検索する
ユーザー uid=jdoe,ou=people,dc=example,dc=com がメンバーであるすべての直接または間接グループを検索するには、次のように入力します。
ldapsearch -D "cn=Directory Manager" -W -H ldap://server.example.com -xLL -b "dc=example,dc=com" "(member:1.2.840.113556.1.4.1941:=uid=jdoe,ou=people,dc=example,dc=com)" dn
# ldapsearch -D "cn=Directory Manager" -W -H ldap://server.example.com -xLL -b "dc=example,dc=com" "(member:1.2.840.113556.1.4.1941:=uid=jdoe,ou=people,dc=example,dc=com)" dn
inchainMatch マッチングルールを使用した検索では、匿名アクセスはサポート されません。inchainMatch マッチングルールの使用の詳細は、inchainMatch マッチングルールを使用して LDAP エントリーの祖先を検索する を参照してください。
グループのメンバーを見つける
marketing グループの直接または間接のメンバーをすべて検索するには、次のように入力します。
ldapsearch -D "cn=Directory Manager" -W -H ldap://server.example.com -xLL -b "dc=example,dc=com" "(memberof:1.2.840.113556.1.4.1941:=cn=marketing,ou=groups,dc=example,dc=com)" dn
# ldapsearch -D "cn=Directory Manager" -W -H ldap://server.example.com -xLL -b "dc=example,dc=com" "(memberof:1.2.840.113556.1.4.1941:=cn=marketing,ou=groups,dc=example,dc=com)" dn
inchainMatch マッチングルールを使用した検索では、匿名アクセスはサポート されません。inchainMatch マッチングルールの使用の詳細は、inchainMatch マッチングルールを使用して LDAP エントリーの祖先を検索する を参照してください。
ビットフィールドの値での属性の検索
ビット単位の検索では、ビットフィールドの値を持つ属性に対して、ビット単位の AND またはビット単位の OR のマッチングルールを使用してビット単位の検索操作を行います。
ビットフィールドの値が含まれる属性は LDAP で一般的ではありません。デフォルトの Directory Server スキーマは、ビットフィールドを属性構文として使用しません。ただし、複数の LDAP 構文は整数形式の値をサポートします。カスタム属性を定義してビットフィールド値を使用できます。アプリケーションはカスタム属性を使用して、ビットフィールド値に対してビット単位の操作を実行できます。
ビット単位 AND マッチングルール (1.2.840.113556.1.4.803) は、アサーション値に指定されたビットがビットフィールド属性値に設定されていることを確認します。これは等価検索に類似しています。次の例では、userAccountControl 値を 2 を表すビットに設定します。
"(UserAccountControl:1.2.840.113556.1.4.803:=2)"
"(UserAccountControl:1.2.840.113556.1.4.803:=2)"
次の例は、userAccountControl 値には、値 6 (ビット 2 および 4) に設定されるすべてのビットが必要であることを示します。
"(UserAccountControl:1.2.840.113556.1.4.803:=6)”
"(UserAccountControl:1.2.840.113556.1.4.803:=6)”
ビット単位 OR マッチングルール (1.2.840.113556.1.4.804) は、アサーション文字列のビットのいずれかが属性値で表されるかどうかを確認します。これは部分文字列検索に類似しています。この例では、UserAccountControl の値には、6 のビットフィールドに設定されるビットのいずれかが必要です。つまり、属性値は 2、4、または 6 のいずれかになります。
"(UserAccountControl:1.2.840.113556.1.4.804:=6)"
"(UserAccountControl:1.2.840.113556.1.4.804:=6)"ビット単位検索は、Samba ファイルサーバーの使用など、Windows と Linux の統合で使用できます。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}