LDAP学习笔记之二：389-DS(RHDS) 增删改查基本操作

1

2

3

4

5

6

7

8

9

10

11

# 以下命令需要安装openldap-clients包<br>ldapsearch：搜索 OpenLDAP 目录树条目。

ldapadd：通过 LDIF 格式，添加目录树条目。

ldapdelete：删除 OpenLDAP 目录树条目。

ldapmodify：修改 OpenLDAP 目录树条目。

ldapwhoami：效验 OpenLDAP 用户的身份。

ldapmodrdn：判断 OpenLDAP 目录树 DN 条目。

ldapcompare：判断 DN 值和指定参数值是否属于同一个条目。

ldappasswd：修改 OpenLDAP 目录树用户条目实现密码重置,建议加上-S参数自定义密码，否则会随机生产一个密码，和系统PAM建立合理的关系后可以使用系统的passwd命令修改(建议)。

slaptest：验证 slapd.conf 文件或 cn=配置目录。

slapindex：创建 OpenLDAP 目录树索引，提供查询效率。

slapcat：将数据条目转换为 OpenLDAP 的 LDIF 文件

1

2

3

4

[root@ldap-server1 ~]# rpm -qf /usr/share/dirsrv/data/Example.ldif

389-ds-base-1.3.10.2-15.el7_9.x86_64

[root@ldap-server1 ~]# cp /usr/share/dirsrv/data/Example.ldif .

[root@ldap-server1 ~]# sed -i 's/dc=example/dc=ldap-server1, dc=example/g' Example.ldif   #修改样例文件中服务的DN,根据实际情况修改　

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

[root@ldap-server1 ~]# ldapsearch -x "(uid=jvedder)" > blues.ldif #生成新用户的ldif文件，从另一个用户生成即可

[root@ldap-server1 ~]# vim blues.ldif  #简单修改

dn: uid=eblues,ou=People,dc=ldap-server1,dc=example,dc=com

givenName: Elwood

telephoneNumber: +1 408 555 4668

sn: Blues

ou: Product Development

ou: People

l: Chicago

manager: uid=bparker,ou=People,dc=ldap-server1,dc=example,dc=com

roomNumber: 3445

mail: jvedder@example.com

facsimileTelephoneNumber: +1 408 555 0111

objectClass: top

objectClass: person

objectClass: organizationalPerson

objectClass: inetOrgPerson

uid: eblues

cn: Elwood Blues

[root@ldap-server1 ~]# ldapadd -x -f blues.ldif #添加会报错，提示匿名用户没有权限

adding new entry "uid=eblues,ou=People,dc=ldap-server1,dc=example,dc=com"

ldap_add: Insufficient access (50)

    additional info: Insufficient 'add' privilege to add the entry 'uid=eblues,ou=People,dc=ldap-server1,dc=example,dc=com'.

[root@ldap-server1 ~]# ldapadd -x -c -f blues.ldif  -W  #指定用户，这里用的是~/.ldaprc中的用户,-c是当出现报错是继续执行，等同于上面导入用户时Continue on error选项

Enter LDAP Password:

adding new entry "uid=eblues,ou=People,dc=ldap-server1,dc=example,dc=com"

[root@ldap-server1 ~]# ldapsearch -x "(uid=eblues)" -LLL         #查询刚刚新增的用户信息

dn: uid=eblues,ou=People,dc=ldap-server1,dc=example,dc=com

givenName: Elwood

telephoneNumber: +1 408 555 4668

......

1

2

3

4

5

6

7

8

9

10

1.命令行删除

[root@ldap-server1 ~]# ldapdelete -x -W uid=eblues,ou=People,dc=ldap-server1,dc=example,dc=com

Enter LDAP Password:

[root@ldap-server1 ~]# ldapsearch -x "(uid=eblues)" -LLL

2.文件删除

[root@ldap-server1 ~]# cat delete.ldif

uid=scarter,ou=People,dc=ldap-server1,dc=example,dc=com

uid=tmorris,ou=People,dc=ldap-server1,dc=example,dc=com

[root@ldap-server1 ~]# ldapdelete -x -W -f delete.ldif

[root@ldap-server1 ~]# ldapsearch -x "(uid=scarter)" -LLL

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

[root@ldap-server1 ~]# vim blues-modify.ldif  #创建需要修改的ldif文件

dn: uid=eblues,ou=People,dc=ldap-server1,dc=example,dc=com   #指定需要修改的条目

changetype: modify     #指定变更的类型为修改

replace: roomNumber    #修改类型的替换操作 即替换该条目的roomNumber属性

roomNumber: 8888

-

replace: l           #多个修改操作使用-隔离

l: Belvery Hills

-

delete: facsimileTelephoneNumber  #删除某个属性

-

add: postalcode         #添加某个属性，具体熟悉可以在控制台中查看用户的高级选项中查看

postalcode: 10086

-

[root@ldap-server1 ~]# ldapmodify -x -f blues-modify.ldif -W

[root@ldap-server1 ~]# ldapsearch -x "(uid=eblues)" -LLL

1

2

3

4

5

6

7

8

1.匿名查询

[root@ldap-server1 ~]# ldapsearch -h ldap-server1.example.com -b ou=people,dc=ldap-server1,dc=example,dc=com -x # -h指定服务的IP地址或在主机名称 -b 指定从哪个容器查询，即从哪里开始查询  -x 使用用户名密码方式验证，不指定用户和密码表示使用匿名用过2.指定用户查询

2.指定用户查询

[root@ldap-server1 ~]# ldapsearch -h ldap-server1.example.com -b ou=people,dc=ldap-server1,dc=example,dc=com -x -D "cn=Directory Manager" -W # -D 指定用户 -W 在交互式命令行中输入密码

3.添加过滤参数

[root@ldap-server1 ~]# ldapsearch -x -LLL 'uid=ldap1' cn gidNumber #过滤uid=ldap1的条目，并获取其中cn gidNumber字段

1

2

3

4

5

6

[root@ldap-server1 ~]# vim /etc/openldap/ldap.conf

BASE    dc=ldap-server1,dc=example,dc=com #等同于 -b

URI     ldap://ldap-server1.example.com  #等同于 -h　

[root@ldap-server1 ~]# vim ~/.ldaprc

BINDDN cn=Directory Manager  #等同于 -D 　　

1

2

3

4

5

6

7

8

9

10

11

12

13

14

ldapsearch -x -D "cn=Directory Manager" -W -L  #-L以精简模式显示，可以有三个LLL

ldapsearch -x "(uid=jyu)" -L  #查询uid等于jyu的用户信息

ldapsearch -x "(uid=jyu)" -LLL mail telephoneNumber   #查看uid等于jyu的mail和电话信息

ldapsearch -x "(uid=jyu*)" -LLL mail    #模糊查询

ldapsearch -x "(!(age>=18))" -LLL mail   #可以对数值进行比较，!为取反

ldapsearch -x "(&(age=18)(gender=male))" -LLL mail   #可以AND查询多个条件

ldapsearch -x "(|(uid=jyu)(uid=lyf))" -LLL mail   #或多个查询条件

以下为禁止搜索的字符,如果需要查询需要转移，或在使用对应的ASCII码：

*       \2A

(       \28

)       \29

\       \5c

(空)    \00