Чтобы правильно составить запрос к службе каталогов, необходимо изучить основы LDAP-синтиксиса.

В службе каталогов информация хранится в виде объектов. Для обозначения свойств объектов (по терминологии Microsoft) в стандартах LDAP применяется термин атрибуты.

Чтобы выбрать нужные данные из службы каталогов, необходимо составить фильтр. В LDAP используются специальные конструкции для фильтров, в которых оператор ставится до самих величин. Например, если вам необходимо найти всех пользователей с фамилией Иванов, то фильтр следовало бы записать по следующей форме: (и(тип=пользователь) (фамилия=иванов)). То есть два условия объединены требованием и, которое записано до условий.

В фильтрах допустимы операторы, перечисленные в табл. 4.1.

Таблица 4.1. Допустимые операторы фильтров

Оператор Описание
= Равно
~= Приблизительно равно
<= Меньше или равно
>= Больше или равно
& И
I ИЛИ
! НЕТ

Примечание Некоторые объекты допускают использование поиска по маске (*); в общем случае наличие такой возможности следует уточнить по документации.

Если в запросе необходимо использовать символы: " (", ")", "*" и nul, то они должны быть записаны через escape-последовательность так, как указано в табл. 4.2.

Таблица 4.2. Escspe-последовательности

Символ Записывается как
* \2a
( \28
) \29
\ \5c
NUL \00

Примечание Аналогично через escape-последовательность записываются двоичные данные с разбиением по два байта.

Определенную сложность при первых обращениях к операциям поиска вызывает знание необходимого атрибута, который должен быть использован в операции. Можно порекомендовать просмотреть все атрибуты объекта этого же типа, выбрать нужное свойство и использовать его в запросе. Это можно сделать и в самой программе ldp.exe, если включить отображение вывода в результате поиска всех атрибутов. Для этого следует открыть окно поиска, нажать кнопку Option и в строку перечня атрибутов ввести звездочку (*).

Примечание Чтобы вернуться к выводу сокращенного списка атрибутов, следует в данной строке перечислить (через точку с запятой) названия тех атрибутов, которые должны отображаться на экране по результатам поиска.

Покажем на небольшом примере, как можно быстро в домене найти пользователя по второму почтовому адресу.

Дополнительные адреса электронной почты, которые присвоены пользователю, перечисляются в атрибуте proxyaddresses. Дополним перечень отображаемых атрибутов этим значением (допишем его в строку Attributes после точки с запятой) и снимем флажок в параметре Attributes, чтобы программа поиска вывела на экран значения атрибутов. Установим в окне настройки фильтра поиска в качестве начальной точки имя нашего домена, а критерием поиска выберем следующую строку:

(&((objectclass=user)(proxyaddresses=*адрес*)))

Она означает, что мы хотим искать только пользователей, у которых один из адресов электронной почты содержит символы адрес (в любом месте адреса). Выберем зону поиска по всей базе (SubTree). Выполнив поиск, мы получим на экране необходимые сведения.

Подключаемся к каталогу по протоколу ldap | Самоучитель системного администратора | Команда ldifde


Самоучитель системного администратора



Новости за месяц

  • Август
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31