Запросы LDAP

Что такое запросы LDAP?

LDAP-запросы (Lightweight Directory Access Protocol) — это формат для поиска и получения данных из службы каталогов, таких как Active Directory (AD). Запросы LDAP позволяют искать, изменять, добавлять и удалять записи в каталоге, предоставляя доступ к данным о пользователях, группах и других объектах в корпоративной сети.

Как работают запросы LDAP?

Запросы LDAP состоят из базового DN (Distinguished Name) и фильтра поиска. Например, запрос: (&(objectClass=user)(sAMAccountName=jdoe)) — находит пользователя с sAMAccountName равным jdoe. Запросы могут использовать операторы для точных и шаблонных совпадений.

• Пример LDAP-запроса: (objectClass=user) — для поиска всех пользователей в домене.
• Запрос к AD: (objectClass=user) — для получения списка всех пользователей. Можно использовать такие атрибуты, как sAMAccountName, чтобы уточнить поиск.
• PowerShell: Get-ADUser -Filter {Name -like "John*"} — для получения всех пользователей с именем, начинающимся на «John».
• Проверка: ldapsearch или PowerShell помогают удостовериться в корректности запроса.
• Linux: ldapsearch -x -b "dc=example,dc=com" "(uid=jdoe)" — поиск пользователя в каталоге.
• AD: (&(objectClass=group)(member=uid=jdoe)) — группы пользователя jdoe.
• OpenLDAP:
  • (objectClass=inetOrgPerson) — все пользователи.
  • (&(objectClass=inetOrgPerson)(uid=jdoe)) — пользователь по UID.
  • (&(objectClass=posixGroup)(cn=admins)) — группа по имени.
  • (&(objectClass=inetOrgPerson)(memberOf=cn=admins,ou=groups,dc=example,dc=com)) — участники группы.
  • (&(objectClass=inetOrgPerson)(mail=*@example.com)) — пользователи по email-домену.