← man/security_and_auth
ldapcompare — man ldapcompare — 80×24
ugur@toprak:~/man/security_and_auth$man ldapcompare
Bölüm 1 Güvenlik & Kimlik

ldapcompare

LDAP karşılaştırma aracı

Özet

       ldapcompare [-n] [-v] [-z] [-M[M]] [-d_debuglevel] [-D_binddn] [-W] [-w_passwd] \
       [-y_passwdfile] [-H_ldapuri] [-h_ldaphost] [-p_ldapport] [-P {2|3}] [-e [!]ext[=extparam]] \
       [-E [!]ext[=extparam]] [-O_security-properties] [-I] [-Q] [-U_authcid] [-R_realm] [-x] \
       [-X_authzid] [-Y_mech] [-Z[Z]] DN {attr:value | attr::b64value}

Açıklama

ldapcompare, ldap_compare_ext(3) kütüphane çağrısına yönelik kabuk üzerinden erişilebilen bir arayüzdür.

ldapcompare, bir LDAP sunucusuna bağlantı açar, bağlanır (bind) ve belirtilen parametreleri kullanarak bir karşılaştırma gerçekleştirir. DN, dizindeki bir ayırt edici ad (distinguished name) olmalıdır. Attr, bilinen bir öznitelik olmalıdır. Eğer bunu tek bir iki nokta üst üste işareti takip ediyorsa, doğrulama (assertion) değeri bir dize olarak sağlanmalıdır. İki iki nokta üst üste takip ediyorsa, değerin base64 kodlaması sağlanır. Karşılaştırmanın sonuç kodu çıkış kodu olarak döndürülür ve -z ile çalıştırılmadığı sürece program standart çıktıya TRUE, FALSE veya UNDEFINED yazdırır.

Seçenekler

  • -n: Ne yapılacağını gösterir, ancak karşılaştırmayı gerçekten gerçekleştirmez. -v ile birlikte hata ayıklama için yararlıdır.

  • -v: Standart çıktıya birçok teşhis bilgisinin yazıldığı ayrıntılı modda (verbose) çalışır.

  • -z: Sessiz modda çalışır, hiçbir çıktı yazılmaz. Geri dönüş durumunu kontrol etmeniz gerekir. Kabuk betiklerinde yararlıdır.

  • -M[M]: manage DSA IT denetimini etkinleştirir. -MM denetimi kritik (critical) hale getirir.

-d_debuglevel LDAP hata ayıklama düzeyini debuglevel değerine ayarlar. Bu seçeneğin herhangi bir etki gösterebilmesi için ldapcompare'in LDAP_DEBUG tanımlı olarak derlenmiş olması gerekir.

  • -x: SASL yerine basit kimlik doğrulama kullanır.

-D_binddn LDAP dizinine bağlanmak (bind) için Distinguished Name binddn değerini kullanır. SASL bağlantıları için sunucunun bu değeri yoksayması beklenir.

  • -W: Basit kimlik doğrulama için şifre sorar. Bu, komut satırında şifre belirtmek yerine kullanılır.

-w_passwd Basit kimlik doğrulama şifresi olarak passwd kullanır.

-y_passwdfile Basit kimlik doğrulama şifresi olarak passwdfile dosyasının tüm içeriğini kullanır. Tüm içeriği ifadesi, satır sonları dahil olmak üzere başta veya sondaki tüm boşlukların şifrenin bir parçası olarak kabul edileceği ve diğer yazılımların aksine kırpılmayacağı anlamına gelir. Sonuç olarak, echo(1) varsayılan olarak yazdırılan dizenin sonuna bir satır sonu eklediğinden, echo(1) gibi komutlarla dosyalarda saklanan şifreler beklendiği gibi çalışmayacaktır. Bu seçenekle kullanılmak üzere bir dosyada düz metin (cleartext) şifresi saklamanın önerilen taşınabilir yolu, karma (hash) olarak {CLEARTEXT} ve -n seçeneği ile slappasswd(8) kullanmaktır.

-H_ldapuri LDAP sunucu(lar)ına atıfta bulunan URI(ler)i belirtir; yalnızca protokol/host/port alanlarına izin verilir; boşluk veya virgülle ayrılmış bir URI listesi beklenir.

-h_ldaphost LDAP sunucusunun çalıştığı alternatif bir ana bilgisayarı belirtir. -H lehine kullanımdan kaldırılmıştır.

-p_ldapport LDAP sunucusunun dinlediği alternatif bir TCP portunu belirtir. -H lehine kullanımdan kaldırılmıştır.

-P {2|3} Kullanılacak LDAP protokol sürümünü belirtir.

-e [!]ext[=extparam]

-E [!]ext[=extparam]

-e ile genel uzantıları, -E ile arama uzantılarını belirtir. ´!´ kritikliği belirtir.

Genel uzantılar: [!]assert= (bir RFC 4515 Filtresi) [!]authzid= ("dn:" or "u:") [!]manageDSAit [!]noop ppolicy [!]postread[=] (virgülle ayrılmış bir öznitelik listesi) [!]preread[=] (virgülle ayrılmış bir öznitelik listesi) abandon, cancel (SIGINT sinyali abandon/cancel gönderir; gerçekte denetim değildirler)

Arama uzantıları: [!]domainScope (domain scope) [!]mv= (eşleşen değerler filtresi) [!]pr=[/prompt|noprompt] (sayfalandırılmış sonuçlar/istem) [!]sss=[-]<attr[:OID]>[/[-]<attr[:OID]>...] (sunucu tarafı sıralama) [!]subentries[=true|false] (alt girdiler) [!]sync=ro[/] (LDAP Sync refreshOnly) rp[/][/] (LDAP Sync refreshAndPersist)

-O_security-properties SASL güvenlik özelliklerini belirtir.

  • -I: SASL Etkileşimli (Interactive) modunu etkinleştirir. Her zaman sorar. Varsayılan davranış, yalnızca gerektiğinde sormaktır.

  • -Q: SASL Sessiz (Quiet) modunu etkinleştirir. Asla sormaz.

-U_authcid SASL bağlantısı (bind) için kimlik doğrulama kimliğini (authentication ID) belirtir. Kimliğin biçimi, kullanılan gerçek SASL mekanizmasına bağlıdır.

-R_realm SASL bağlantısı için kimlik doğrulama kimliğinin alanını (realm) belirtir. Alanın biçimi, kullanılan gerçek SASL mekanizmasına bağlıdır.

-X_authzid SASL bağlantısı için talep edilen yetkilendirme kimliğini (authorization ID) belirtir. authzid şu biçimlerden biri olmalıdır: dn: veya u:

-Y_mech Kimlik doğrulama için kullanılacak SASL mekanizmasını belirtir. Belirtilmezse, program sunucunun bildiği en iyi mekanizmayı seçecektir.

  • -Z[Z]: StartTLS (Transport Layer Security) genişletilmiş işlemini yürütür. Eğer -ZZ kullanırsanız, komut işlemin başarılı olmasını şart koşacaktır.

Örnekler

	   ldapcompare "uid=babs,dc=example,dc=com"  sn:Jensen
	   ldapcompare "uid=babs,dc=example,dc=com"  sn::SmVuc2Vu

hepsi eşdeğerdir.

Sınırlamalar

Değerin komut satırından geçirilmesini zorunlu kılmak sınırlayıcıdır ve bazı güvenlik endişelerine yol açar. Komut, değerin okunacağı konumu (dosya adı veya URL) belirtmek için bir mekanizmayı desteklemelidir.

Ayrıca Bakınız

ldap.conf(5), ldif(5), ldap(3), ldap_compare_ext(3)

Yazar

The OpenLDAP Project http://www.openldap.org/

Teşekkürler

OpenLDAP Software, The OpenLDAP Project http://www.openldap.org/ tarafından geliştirilmekte ve sürdürülmektedir. OpenLDAP Software, University of Michigan LDAP 3.3 Sürümünden türetilmiştir.

OpenLDAP 2.4.28 2011/11/24 LDAPCOMPARE(1)