Ldap Binary Option

Attribute mit Option Binary Einige Verzeichnissysteme erzwingen eine spezielle Behandlung für bestimmte Attribute, sodass die LDAP-Attributoptionsbinärdatei verwendet werden muss. Der Grund hierfür ist: Die zugehörigen Attributwerte oder Assertionswerte müssen BER (Basic Encoding Rules) codiert sein - ansonsten werden die Werte entsprechend der LDAP-spezifischen Codierung RFC 4517 für die Attributsyntax codiert. Um diese spezielle Behandlung zu signalisieren, gibt der LDAP-Server solche Attribute nur mit der binären Option zurück. LDAP-Optionen wie die binäre Option werden im Allgemeinen in der LDAP v3-Spezifikation in RFC 4511 beschrieben. Sie werden zu den Attributnamen als Suffix hinzugefügt, wenn der LDAP-Server und der Client miteinander kommunizieren, zum Beispiel wie folgt: Die binäre Option ist insbesondere Beschrieben in RFC 4522. Manchmal ist es nicht deutlich im Verzeichnis Schema markiert, wenn ein Attribut erfordert eine Behandlung mit der binären Option. In diesen Fällen haben Sie die Möglichkeit, ein solches Attribut in die Anwendungsoptionen unter Werkzeuge - Optionen - LDAP-Einstellungen in die Liste Binärattribute einzutragen. So können diese Attribute ohne Probleme gelesen und geschrieben werden. Normalerweise müssen Sie nicht hart an dieser Liste arbeiten, weil die meisten Attribute, die die binären Optionen benötigen, hier als Standardwerte vordefiniert sind. Sie werden erkennen, wann ein Attribut dieser Liste hinzugefügt werden soll, wenn Sie es im Attributlistenfenster mit der binären Zeichenfolge am Ende des Attributsnamens sehen: Ein weiteres Symptom, das Sie darauf hinweist, einen solchen Attributnamen den Attributen der binären Option hinzuzufügen List: Ein Protokollfehler tritt auf, wenn Sie ein solches Attribut ohne die binäre Option schreiben möchten: LDAP-Filter-Syntax Dieses Thema befasst sich mit der Syntax und den Regeln für ein LDAP-Filter, das eine normale Zeichenfolge ist, die die Kriterien für den Filter ausdrückt. Sie benötigen Kenntnisse über LDAP-Filter, wenn Sie Objekte und Filterobjekte im LDAP-Browser LEX durchsuchen möchten. Grundlegende LDAP-Filter-Syntax und Operatoren LDAP-Filter bestehen aus einem oder mehreren Kriterien. Wenn in einer Filterdefinition nur ein Kriterium vorhanden ist, können sie durch logische UND - oder ODER-Operatoren verkettet werden. Die logischen Operatoren werden immer vor den Operanden (d. H. Den Kriterien) platziert. Dies ist die sogenannte polnische Notation. Die Suchkriterien müssen in Klammern gesetzt werden und dann muss der gesamte Begriff noch einmal eingeklammert werden. (K2)) oder mit mehr als zwei Kriterien: (amp (K1) (K2) (K3) (K4) (K1) (K2)) oder mit mehr als zwei Kriterien (K1) (K2) (K3) (K4) Jede ANDOR-Operation kann auch als ein einziges Kriterium verstanden werden: ((amp ( (K1 UND K2) OR (K3 UND K4) Die Suchkriterien bestehen aus einer Anforderung für ein LDAP-Attribut, z (GegebenNameSandra). Folgende Regeln sind zu beachten: (attribute abc). z. B. (Amp (objectclassuser) (displayNameFoeckeler) Das Zeichen null (00) kann auch gelegentlich gefordert werden, es ist auch möglich, nach bestimmten Werten in mehrwertigen Attributen zu filtern Ein Beispiel ist das Attribut objectClass. Aufgrund der hierarchischen Struktur des Directory Schemas ist ein Ein ADS - Benutzer ist zB ein Objekt der Klassen - typen, also ein Objekt der Klassen - Typen, so dass ein Filter auch sein kann: Allerdings müssen Sie berücksichtigen, dass eine solche Filterung immer kostet Filtern nach Hex-Nummern und Binärwerten In Fällen, in denen Attribute vom Typ Integer oder Long Integer für bestimmte Hex-Nummern verglichen und gefiltert werden, muss immer die entsprechende dezimalkodierte Zahl verwendet werden Im LDAP-Filter Beispiel: Wenn Sie nach lokalen Sicherheitsgruppen im ADS suchen, müssen zwei Flags für das groupType-Attribut gesetzt werden: ADSGROUPTYPELOCALGROUP (0x00000004) ADSGROUPTYPESECURITYENABLED (0x80000000) Die Addition dieser Werte ist der Hexadezimalwert 0x80000004, Berechnet in der Dezimalzahl 2147483652 - muss dies im LDAP-Filter verwendet werden: Es ist eine ganz andere Sache, wenn Sie Filter für Attribute erstellen wollen, deren Datentypen als binäre Hex-Werte erscheinen (der entsprechende Datentyp wird oft als Octet String bezeichnet ). Wenn Sie nach solchen binären Attributen filtern, ist es obligatorisch, jedes einzelne Byte zu deklarieren, das im Hex-Code verglichen werden muss. Wenn Sie beispielsweise nach Objekten mit dem Attribut Inventory suchen, das den Wert 0x01AAF5EF hat, muss der entsprechende Filter lesen: (Inventory01aaf5ef) Bei der Suche nach binären Attributen ist die Wildcard-Suche leider nicht erlaubt. Filterung für Bitfelder Durch Verwendung von LDAP-Filtern Es ist auch möglich, Objekte zu finden, für die ein bestimmtes Bit entweder innerhalb eines Bitfeldes gesetzt ist oder nicht. In diesem Fall muss eine seltsam aussehende Syntax beachtet werden: ltAttribute namegt: ltBitFilterRule-IDgt: ltdecimal comparative valuegt Es gibt genau zwei BitFilterRule-IDs: Eine für bitweise AND-Vergleiche und eine für bitweise ODER-Vergleiche: LDAPMATCHINGRULEBITAND 1.2.840.113556 .1.4.803 LDAPMATCHINGRULEBITOR 1.2.840.113556.1.4.804 für das Attribut group folgende Bitmaske in ADS-Gruppenobjekte wichtig ist: ADSGROUPTYPEGLOBALGROUP 0x00000002 ADSGROUPTYPELOCALGROUP 0x00000004 ADSGROUPTYPEUNIVERSALGROUP 0x00000008 ADSGROUPTYPESECURITYENABLED 0x80000000 Ein Filter für universelle Gruppen hat für diese Objekte zu suchen, in dessen Unternehmen die 4. Attribute Niedrigstwertiges Bit gesetzt ist. Dies kann überprüft werden, indem das Attribut des Wertes 0x00000008 (dies ist das 4. Bit) in einem AND-Filter gesetzt wird: Alle universellen Gruppen: Achtung: In LDAP-Filtern muss der Hex-Wert des Bitfilters an dieser Stelle dezimal sein Also wenn alle Sicherheit (0x80000000 2147483648): Alle sicherheitsaktivierten Gruppen: Ein Beispiel für ein ODER-Filter: Wir suchen alle Benutzer, die kein Passwort benötigen (userAccountControl Wird auf 0x20 - 32 gesetzt) ​​oder deren Passwörter nie ablaufen (userAccountControl ist auf 0x10000 65536 gesetzt). Daher müssen wir einen Filter mit dem Wert 65568 (65536 32) erstellen: Alle Benutzer, die kein Passwort benötigen oder deren Passwörter nicht ablaufen: Bitte beachten Sie, dass bitweise Filterung ein viel komplexeres Verfahren für einen Server ist. Aus diesem Grund sollten Sie die Verwendung der normalen Eigenkapitalkriterien berücksichtigen. Wenn man z. B. Für universelle Sicherheitsgruppen können die beiden Flags 0x80000000 und 0x00000008 addiert und dann nach dem entsprechenden Dezimalwert gefiltert werden 2147483656: Alle universellen Sicherheitsgruppen: Beachten Sie, dass die LEX-Dialoge zum Editieren von LDAP-Filtern sehr einfach solche Bitmap-Filter-Syntaxen festlegen können . Filtern mit Ambiguous Name Resolution (ANR) Die Ambiguous Name Resolution kann Benutzer oder Kontakte in Active Directory-Umgebungen finden, deren Namen nur teilweise bekannt sind. Dabei sind nicht nur der Objektname, sondern auch der Anzeigename, Vor - und Nachname sowie die diversen Mail-Adressen bei der Suche beteiligt. Als Outlook-Benutzer können Sie einen Blick auf die ANR-Filterung suchen, indem Sie z. Die Option Namen überprüfen, um den besten Treffer bei der Suche nach einer Adresse zu erhalten. Welche Attribute genau in die ANR-Suche integriert werden, wird durch die Attributsuche-Flags im Verzeichnisschema festgelegt. Auf diese Weise wird ein sogenannter ANR-Satz von Attributen deklariert. Folgende Attribute sind Bestandteil des ANR, der standardmäßig gesetzt ist: Relativer Distinguished Name (RDN). Dies können beispielsweise die Werte für cn sein. Oder ou. ProxyAddresses (E-Mail-Adressen) physicalDeliveryOfficeName (Büroadresse) Die Syntax von ANR-Filtern ist wie folgt: Vorname (Vorname) sn (Nachname) displayName (Anzeigename) legacyExchangeDN (nach Migration wird der Exchange 5.5-Verzeichnisname des alten Postfachs angezeigt) : Alle diese Filter finden den Benutzer Foeckeler, Philipp. Die zweite ist in der Lage, Philipp Foeckeler sowie Fritz Paul zu finden. Das liegt daran, dass das ANR-Filter den Vornamen und den Nachnamen in beide Richtungen überprüft. ldapmodify liest eine beliebige Anzahl dieser Änderungssätze aus der Befehlszeile oder aus einer Datei, wobei die entsprechenden Einträge entsprechend den LDIF-Anweisungen geändert werden. Für jeden DN in der LDIF-Datei führt das Tool den angeforderten LDAP-Vorgang (definiert durch changetype) am angegebenen Eintrag aus. Ldapmodify unterstützt die folgenden Operationen: Löschen eines Eintrags eines Eintrags (einschließlich DN oder relativer DN) Die Syntax des Programms ldapmodify in der Befehlszeile kann eines der folgenden Formate haben: ldapmodify options lt LDIFfile ldapmodify options - f LDIFfile-Optionen sind der Befehl - Linieoptionen und deren Parameter, die unter Optionen beschrieben sind. LDIFfile ist eine RFC 2849-konforme LDIF-Textdatei, die neue Einträge oder Aktualisierungen vorhandener Einträge enthält. In ihrer ersten Form (ohne LDIFfile). Ldapmodify übernimmt eine oder mehrere LDIF-Aktualisierungsanweisungen, die in der Befehlszeile konfiguriert wurden, und beendet die Eingabe mit einer EOF-Markierung. Sobald Sie alle Update-Anweisungen und den EOF-Marker eingegeben haben, verarbeitet ldapmodify die Eingabe und führt alle Operationen durch. SSL (Secure Socket Layer) Optionen Mit den Optionen in Table1604-3 können Sie LDAPS (LDAP über SSL) verwenden, um eine sichere Verbindung für den Aktualisierungsvorgang herzustellen. Diese Optionen sind nur gültig, wenn LDAPS in Ihrem SSL-aktivierten Verzeichnisserver aktiviert und konfiguriert wurde. Informationen zur zertifikatsbasierten Authentifizierung und zur Erstellung einer Zertifikatsdatenbank für die Verwendung mit LDAP-Clients finden Sie in Kapitel 16011, 8220Implementieren von Sicherheit, 8221 im Sun ONE Directory Server-Administrationshandbuch. Weitere Informationen finden Sie unter Verwenden der Authentifizierung für Beispiele mithilfe der SSL-Optionen. Geben Sie den Pfad und den Dateinamen der Zertifikat-Datenbank client8217s an. Diese Datei kann mit der Zertifikatsdatenbank für eine SSL-fähige Version von Netscape153 Communicator identisch sein, wenn sie beispielsweise verfügbar ist: - P home uid. netscapecert7.db. Wenn auf dem gleichen Host wie dem Directory-Server mit dem Befehl, können Sie die server8217s eigene Zertifikatsdatenbank verwenden, zum Beispiel: - P installDir slapd - serverID aliascert7.db. Verwenden Sie nur die Option - P, um nur die Serverauthentifizierung anzugeben. Geben Sie an, dass SSL für die Zertifikatsbasierte Clientauthentifizierung verwendet werden soll. Diese Option erfordert die Optionen - N und - W sowie alle anderen Optionen, die zur Identifizierung des Zertifikats und der Schlüsseldatenbank erforderlich sind. Rückgabewerte Das ldapmodify Tool basiert auf dem Sun ONE LDAP SDK for160C und seine Rückgabewerte sind diejenigen der Funktionen, die sie verwendet, wie ldapsimplebinds (). Ldapaddexts (). Ldapmodifyexts (). Und ldapdeleteexts (). Diese Funktionen geben sowohl clientseitige als auch serverseitige Fehler und Codes zurück. Tabelle1604-4 zeigt die möglichen Rückgabewerte, wenn das Verzeichnis auf einem Sun ONE Directory Server gehostet wird. Andere LDAP-Server können diese Werte unter verschiedenen Umständen senden oder andere Werte senden. Sie können auch andere Ergebniscodes gänzlich senden, beispielsweise benutzerdefinierte Ergebniscodes aus einem benutzerdefinierten Plug-in. Weitere Informationen zu den Ergebniscodes finden Sie im Sun ONE LDAP SDK for160C Programmierhandbuch. Table1604-4160160Return Werte von ldapmodify 160 diesen Zusatz auszuführen, starten Sie das Tool ldapmodify mit der Option - a und geben Sie die Eingabedatei mit der Option - f: ldapmodify - h hostname - a - f newEntry. ldif 160160160160160160160160160160160160160160-D quotuidbjensen, dcexample, Dccomquot - w bindPassword Ändern eines Eintrags Die Aktualisierungsanweisung für eine Änderung enthält Änderungssätze, die die zu ändernden Attribute und ihre neuen Werte angeben. (Siehe 8220Managing Einträge aus dem Befehls Line8221 in Chapter1602 des Sun ONE Directory Server Administration Guide für eine Beschreibung dieser Syntax.) Code-Example1604-3 ist die modifyEntry. ldif Datei, die Anweisungen für das Hinzufügen eines neuen Attribut enthält und Bearbeiten eines vorhandenen. Die Zeile mit einem einzigen Strich (-) ist ein Trennzeichen für mehrere Modifikationen im gleichen Eintrag. Code Example1604-3160160modifyEntry. ldif Eingabedatei Um den Vorgang auszuführen, starten Sie das Tool ldapmodify und geben den Dateinamen in der Befehlszeile an. ldapmodify - h hostname - f modifyEntry. ldif 160160160160160160160160160160160160160160-D quotuidbjensen, dcexample, dccomquot - w bindPassword Eintrag löschen Die Update-Anweisung für eine Löschung nur die DN und das Change erfordert. Dieses Beispiel zeigt, wie Sie diese Informationen als Standardeingabe in der Befehlszeile eingeben: cnPete Minsky, ouPeople, dcexample, dccom 160160160160160160160160160160160160160160changetype: - h Hostname 160160160160160160160160160160160160160-D quotuidbjensen, dcexample, dccomquot 160160160160160160160160160160160160160-w bindPassword 160160160160160160160160160160160160160dn ldapmodify löschen D Verwenden Authentifizierung Es Sind zwei Authentifizierungsebenen, die der Verzeichnisserver auf Clients erzwingen kann, wie das Tool ldapmodify: Serverauthentifizierung und Clientauthentifizierung. Bei der Server-Authentifizierung akzeptiert der Server Verbindungen nur von Clients, die über ein vertrauenswürdiges Zertifikat verfügen. Bei der stärkeren Client-Authentifizierung muss der Client das Zertifikat mit einem passwortgeschützten privaten Schlüssel signieren. Verwenden Sie in beiden Fällen die Option - p, um den SSL-Port des Verzeichnisses server8217s anzugeben. Alle anderen nicht-SSL Optionen behalten ihre ursprüngliche Bedeutung und kann nach Bedarf verwendet werden. Server-Authentifizierung verwenden Um das Tool ldapmodify mit Server-Authentifizierung auszuführen, verwenden Sie nur die - P SSL-Option wie in SSL (Secure Socket Layer) Optionen auf der Kommandozeile diskutiert, zusätzlich zu anderen gängigen Optionen. ldapmodify - h hostname - p 636 - f LDIFfile 160160160160160160160160160160160160160-D quotuidbjensen, dcexample, dccomquot - w bindPassword 160160160160160160160160160160160160160-P homebjensencertscert. db Client-Authentifizierung verwenden, um ein Update mit Client-Authentifizierung durchführen zu können, müssen alle SSL-Optionen geben, wie in SSL diskutiert (Secure Socket Layer) Optionen auf der Kommandozeile, zusätzlich zu anderen gängigen Optionen. ldapmodify - h hostname - p 636 f LDIFfile 160160160160160160160160160160160160160-Z - P homebjensensecuritycert. db N quotbjscertquot 160160160160160160160160160160160160160160-K homebjensensecuritykey. db - W KeyPassword