12 octobre 2013

ldap.conf

ldap.conf, .ldaprc

Fichier de configuration LDAP

ldap.conf est utilisé pour définir les paramètres LDAP par défaut pour les clients. les utilisateurs peuvent créer un fichier ldaprc ou .ldaprc dans leur répertoire personnel. D’autres fichiers de configuration peuvent être spécifiés en utilisant les variables d’environnement LDAPCONF et LDAPRC. Les options peuvent être également définies par des variables d’environnement en les préfixant par "LDAP" (ex: pour BASE, LDAPBASE). Certaines options sont user-only et sont ignorés s’ils sont trouvés dans ldap.conf.

Les fichiers et variables sont lus dans cet ordre:
variable $LDAPNOINIT , et si non définie:
system file /usr/local/etc/openldap/ldap.conf,
user files $HOME/ldaprc, $HOME/.ldaprc, ./ldaprc,
system file $LDAPCONF,
user files $HOME/$LDAPRC, $HOME/.$LDAPRC, ./$LDAPRC,
variables $LDAP‹uppercase option name›.

OPTIONS

URI ‹ldap[si]://[name[:port]] ...› Spécifie les URI des serveurs LDAP.
BASE ‹base› Spécifie le DN de base pour les opérations de recherche
BINDDN ‹dn› Spécifie le Bind DN à utiliser (user-only)
DEREF ‹when› Spécifie comment les alias sont déréférencés. peut être: never Jamais déréférencés searching les alias sont déréférencés en subordonnés de l’objet de base, mais pas en localisant l’objet de base de la recherche finding Les alias sont déréférencés en localisant l’objet de base de la recherche always Les alias sont toujours déréférencés.
NETWORK_TIMEOUT ‹integer› Spécifie le timeout en seconde pour les connections
REFERRALS ‹on/true/yes/off/false/no› Spécifie si le client devrait automatiquement suivre les référant retournés par le serveur. Noter que ldapsearch n’utilise pas cette option.
SIZELIMIT ‹integer› Spécifie le nombre d’entrées à utiliser pour les recherches.
TIMELIMIT ‹integer› Spécifie une limite de temps en seconde pour les recherches.
TIMEOUT ‹integer› Spécifie un timeout en secondes après lesquels les appels LDAP sont annulés si aucune réponse n’est reçue.

Options SASL

SASL_MECH ‹mechanism› Spécifie le mécanisme SASL à utiliser (user-only)
SASL_REALM ‹realm› Royaume SASL
SASL_AUTHCID ‹authcid› Spécifie l’identité d’authentification (user-only)
SASL_AUTHZID ‹authcid› Spécifie l’identité d’authorisation (user-only)
SASL_SECPROPS ‹properties› Spécfie les propriétés de sécurité SASL. peut être:

none seul, désactive ("noanonymous,noplain")
noplain Désactive les mécanismes sujets à attaques simple
noactive Désactive les mécanismes suet à attaques actives.
nodict Désactive les mécanismes sujets à attaque passive par dictionnaire
noanonymous Désactive les mécanismes qui supportent les logins anonymes
forwardsec Nécessite de renvoye un secret entre les sessions
passcred Nécessite des mécanismes qui passent les accréditations client.
minssf=‹factor› Spécifie le facteur minimum à utiliser
maxssf=‹factor› Spécifie le facteur maximum à utiliser
maxbufsize=‹factor› Spécifie la taille de tampon maximum. (0 désactive)

Options GSSAPI

GSSAPI_SIGN ‹on/true/yes/OFF/false/no› Spécifie si GSS_C_INTEG_FLAG devrait être utilisé
GSSAPI_ALLOW_REMOTE_PRINCIPAL ‹on/true/yes/OFF/false/no› Spécifie si l’authentification devrait tenter de former le principal de l’attribut ldapServiceName ou dnsHostName des entrées RootDSE cibles.

Options TLS

TLS_CACERT ‹filename› Spécifie le fichier contenant les certficats des autorités reconnus par le client
TLS_CACERTDIR ‹path› Spécifie le répertoire contenant les certficats des autorités reconnus par le client
TLS_CERT ‹filename› Fichier contenant le certificat du client (user-only)
TLS_KEY ‹filename› Spécifie le fichier contenant la clé privée (user-only)
TLS_CIPHER_SUITE ‹cipher-suite-spec› Spécifie les suites de chiffrement accèptables, par ordre de préférence
TLS_PROTOCOL_MIN ‹major›[.‹minor›] Spécifie la version de protocol SSL/TLS minimum. (pour TLS v1.1 mettre 3.2)
TLS_RANDFILE ‹filename› Spécifie le fichier contenant des données aléatoires quand /dev/urandom n’est pas disponible.
TLS_REQCERT ‹level› Spécifie quels vérifications effectuer sur les certificats serveur dans une session TLS:

never Ne vérifie rien
allow Le certification serveur est requis. S’il n’est pas fournis, ou s’il n’est pas valide, la session procède normalement
try Le certificat serveur est requis. si le certificat n’est pas fournis, la session continue normalement. Si le certificat n’est pas valide, termine la session.
demand|hard Le certificat serveur est obligatoire et doit être valide.
TLS_CRLCHECK ‹level› Spécfie si la CRL doit être vérifiée : none
Pas de vérification peer
Vérifie la CRL du certificat du partie all
Vérifie la CRL pour toute la chaîne de certificat

TLS_CRLFILE ‹filename› Spécifie le fichier contenant la CRL.

Variables d'environnement

LDAPNOINIT Désactive tous les paramètres par défaut
LDAPCONF Chemin du fichier de configuration
LDAPRC Fichier de configuration dans $HOME ou $CWD
LDAP‹option-name› Options comme dans ldap.conf

08 septembre 2013

ldapcompare

Outil de comparaison ldap

OPTIONS

Extensions Générales

[!]assert=‹filter› un filtre RFC 4515
!authzid=‹authzid› "dn :‹dn›" ou "u :‹user›"
[!]bauthzid Contrôle authzid RFC 3829 authzid
[!]chaining[=‹resolve›[/‹cont›]]
[!]manageDSAit
[!]noop
ppolicy
[!]postread[=‹attrs›] (a comma-separated attribute list)
[!]preread[=‹attrs›] (a comma-separated attribute list)
[!]relax
sessiontracking
abandon, cancel, ignore SIGINT envoie une réponse abandon/cancel,ou ignore; Si critique, n’attend pas SIGINT.

Extensions de recherche

!dontUseCopy
[!]domainScope scope du domaine
[!]mv=‹filter› Filtre des valeurs de match
[!]pr=‹size›[/prompt|noprompt] paged results
[!]sss=[-]‹attr[:OID]›[/[-]‹attr[:OID]›...] Tri coté serveur
[!]subentries[=true|false] subentries
[!]sync=ro[/‹cookie›] LDAP Sync refreshOnly
rp[/‹cookie›][/‹slimit›] LDAP Sync refreshAndPersist
[!]vlv=‹before›/‹after›(/‹offset›/‹count›| :‹value›) virtual list view
[!]deref=derefAttr:attr[,attr[...]][ ;derefAttr:attr[,attr[...]]]
[!]‹oid›[=‹value›]

Exemples

ldapcompare "uid=babs,dc=example,dc=com" sn:Jensen
ldapcompare "uid=babs,dc=example,dc=com" sn ::SmVuc2Vu

08 septembre 2013

ldapdelete

Outil de suppression d’entrées LDAP

OPTIONS

Extensions Générales

Extensions de recherche

08 septembre 2013

ldapexop

Fournis des opérations étendues LDAP par oid ou un des mot clé spécial whoami, cancel ou refresh.

OPTIONS

Extensions Générales

Extensions de recherche

08 septembre 2013

ldapmodify

ldapmodify, ldapadd

Ajouter/modifier des entrées dans LDAP

OPTIONS

Extensions Générales

Extensions de recherche

08 septembre 2013

ldapmodrdn

Outil de renommage LDAP

OPTIONS

Extensions Générales

Extensions de recherche

Exemples

on assume que le fichier /tmp/entrymods existe et a le contenu :
cn=Modify Me,dc=example,dc=com
cn=The New Me
la commande :
ldapmodrdn -r -f /tmp/entrymods
va changer le RDN de l’entrée "Modify Me" depuis "Modify ME" vers "The New Me" et l’ancien cn "Modify Me" sera supprimé.

08 septembre 2013

ldappasswd

Change le mot de passe d’une entrée LDAP

OPTIONS

-V[V] Affiche les informations de version
-d debuglevel Niveau de debug
-n simule la requête, mais ne l’exécute pas
-M[M] Permet de gérer le DSA IT control. -MM rend le contrôle critique.
-x Authentification simple
-D binddn DN pour l’authentification simple
-W Demande le mot de passe pour l’authentification simple
-w passwd Définis le mot de passe pour l’authentification simple
-y passwdfile Utilise le contenu du fichier comme mot de passe pour l’authentification simple
-H ldapuri URI du serveur LDAP
-P 2|3 Version du protocole à utiliser
-e [!]ext[=extparam] Spécifie les extensions générales. ! indique la criticité
-E [!]ext[=extparam] Spécifie les extensions de recherche. ! indique la criticité
-o opt[=optparam] Spécifie les options générales (nettimeout=‹timeout› en secondes ou "none" ou "max", ldif-wrap=‹width› en colonnes, ou "no")
-O security-properties Spécifie les propriétés SASL
-I Mode interactif SASL.
-Q SASL en mode silencieux, ne demande jamais
-N N’utilise pas le reverse DNS pour canoniser les hôtes SASL
-U authcid Spécifie l’authentification ID pour le bind SASL.
-R realm Spécifie le realm SASL
-X authzid Spécifie l’authorization ID demandé pour le bind SASL
-Y mech Spécifie le mécanisme SASL à utiliser
-Z[Z] Fournis l’opération étendue StartTLS. -ZZ, l’opération doit être un succès

-v Augmente la verbosité
-A Demande l’ancien mot de passe. Évite de spécifier le mot de passe sur la ligne de commande
-a oldpasswd Spécifie l’ancien mot de passe
-t oldPasswdFile Spécifie le fichier contenant l’ancien mot de passe.
-S Demande le nouveau mot de passe. Évite de spécifier le mot de passe sur la ligne de commande
-s newpasswd Définit le nouveau mot de passe.
-T newPasswdFile Définit le fichier contenant le nouveau mot de passe.

Extensions Générales

Extensions de recherche

08 septembre 2013

ldapsearch

Outil de recherche ldap

OPTIONS

-V[V] Affiche les informations de version
-d debuglevel Niveau de debug
-n simule la requête, mais ne l’exécute pas
-M[M] Permet de gérer le DSA IT control. -MM rend le contrôle critique.
-x Authentification simple
-D binddn DN pour l’authentification simple
-W Demande le mot de passe pour l’authentification simple
-w passwd Définis le mot de passe pour l’authentification simple
-y passwdfile Utilise le contenu du fichier comme mot de passe pour l’authentification simple
-H ldapuri URI du serveur LDAP
-P 2|3 Version du protocole à utiliser
-e [!]ext[=extparam] Spécifie les extensions générales. ! indique la criticité
-E [!]ext[=extparam] Spécifie les extensions de recherche. ! indique la criticité
-o opt[=optparam] Spécifie les options générales (nettimeout=‹timeout› en secondes ou "none" ou "max", ldif-wrap=‹width› en colonnes, ou "no")
-O security-properties Spécifie les propriétés SASL
-I Mode interactif SASL.
-Q SASL en mode silencieux, ne demande jamais
-N N’utilise pas le reverse DNS pour canoniser les hôtes SASL
-U authcid Spécifie l’authentification ID pour le bind SASL.
-R realm Spécifie le realm SASL
-X authzid Spécifie l’authorization ID demandé pour le bind SASL
-Y mech Spécifie le mécanisme SASL à utiliser
-Z[Z] Fournis l’opération étendue StartTLS. -ZZ, l’opération doit être un succès

-v Augmente la verbosité
-c Mode continue, les erreurs sont reportées, mais la requête continue
-u Inclus la forme User Friendly Name des DN dans la sortie
-t[t] -t écrit les valeurs non-imprimables dans un jeu de fichiers temporaires. -tt écrit toutes les valeurs retournées dans les fichiers.
-T path Ecrit les fichiers temporaires dans ce répertoire
-F prefix Préfix URL des fichiers temporaires (défaut : file ://‹path›)
-A Récupère les attributs uniquement
-L Affiche le résultat au format LDIF. -L utilise le format LDIFv1, -LL désactive les commentaires, -LLL n’affiche pas la version LDIF.
-S attribute Trie les entrées retournée basé sur l’attribut spécifié.
-b searchbase Point de départ pour la recherche
-s base|one|sub|children Scope de recherche
-a never|always|search|find Spécifie le mode de déréférencement des alias.
-l timelimit temps d’attente max en seconde pour qu’une recherche se complète
-z sizelimit Nombre d’entrées max pour qu’une recherche se complète.
-f file Pour chaque ligne dans le fichier, effectue une recherche. Dans ce cas, le filtre spécifié sur la ligne de commande est traité comme pattern où la première occurence de %s est remplacée par la ligne.

Extensions Générales

Extensions de recherche

08 septembre 2013

ldapurl

Outil de formatage d’URL LDAP

OPTIONS

-a attrs Liste de sélecteur d’attributs
-b searchbase Point de départ pour la recherche
-e [!]ext[=extparam] Spécifie les extensions générales. ! indique la criticité
-E [!]ext[=extparam] Spécifie les extensions de recherche. ! indique la criticité
-H ldapuri URI du serveur LDAP
-S scheme Schema d’URL
-s base|one|sub|children Scope de recherche

Extensions Générales

Extensions de recherche

Exemples

ldapurl -h ldap.example.com -b dc=example,dc=com -s sub -f "(cn=Some One)"
retourne:
ldap ://ldap.example.com:389/dc=example,dc=com ??sub ?(cn=Some%20One)
ldapurl -H ldap ://ldap.example.com:389/dc=example,dc=com ??sub ?(cn=Some%20One)
retourne :
scheme : ldap
host : ldap.example.com
port : 389
dn : dc=example,dc=com
scope : sub
filter : (cn=Some One)

08 septembre 2013

ldapwhoami

Outil pour l'opération WhoAmI