第10章 ldapsearch コマンドを使用した IdM エントリーの検索

ipa find コマンドを使用して、アイデンティティー管理エントリーを検索できます。ipa コマンドの詳細は、IPA コマンドの構造 セクションを参照してください。

このセクションでは、ldapsearch コマンドラインコマンドを使用し、アイデンティティー管理エントリー経由で検索する代替オプションの基本を紹介します。

10.1. ldapsearch コマンドの使用

ldapsearch コマンドの形式は次のとおりです。

# ldapsearch [-x | -Y mechanism] [options] [search_filter] [list_of_attributes]
  • 認証方法を設定するには、-x オプションを指定して簡易バインドを使用するか、-Y オプションを指定して Simple Authentication and Security Layer (SASL) メカニズムを設定します。-Y GSSAPI オプションを使用している場合は、Kerberos チケットを取得する必要があることに注意してください。
  • オプション は、以下の表で説明されている ldapsearch コマンドオプションです。
  • search_filter は LDAP 検索フィルターです。
  • list_of_attributes は、検索結果が返す属性のリストです。

たとえば、ベース LDAP ツリーのすべてのエントリーでユーザー名 user01 を検索するとします。

# ldapsearch -x -H ldap://ldap.example.com -s sub "(uid=user01)"
  • -x オプションは、簡易バインドで認証するように ldapsearch コマンドに指示します。-D オプションで識別名 (DN) を指定しない場合、認証は匿名になることに注意してください。
  • -H オプションは、ldap://ldap.example.com に接続します。
  • -s sub オプションは、ldapsearch コマンドに、ベース DN から始まるすべてのエントリーを検索して、名前が user01 のユーザーを検索するように指示します。"(uid=user01)" はフィルターです。

-b オプションを使用して検索の開始点を指定しない場合、コマンドはデフォルトのツリーを検索することに注意してください。これは、etc/openldap/ldap.conf ファイルの BASE パラメーターで指定されます。

表10.1 ldapsearch コマンドのオプション

オプション説明

-b

検索の開始点。コマンドラインがコードに解釈できるアスタリスク (*) またはその他の文字が検索パラメーターに含まれている場合は、値を一重引用符または二重引用符で囲む必要があります。たとえば、-b cn=user,ou=Product Development,dc=example,dc=com です。

-D

認証に使用する識別名 (DN)。

-H

サーバーに接続するための LDAP URL。-H オプションは、-h および -p オプションを置き換えます。

-l

検索要求が完了するまで待機する制限時間 (秒単位)。

-s scope

検索の範囲です。スコープには、次のいずれかを選択できます。

  • base は、-b オプションからのエントリー、または LDAP_BASEDN 環境変数によって定義されたエントリーのみを検索します。
  • one は、-b オプションからエントリーの子のみ検索します。
  • sub は、-b オプションの開始点からサブツリーを検索します。

-W

パスワードを要求します。

-x

単純なバインドを許可するためにデフォルトの SASL 接続を無効にします。

-Y SASL_mechanism

認証用の SASL メカニズムを設定します。

-z number

検索結果の最大エントリー数。

ldapsearch コマンドの -x または -Y オプションを使用して、いずれかの認証メカニズムを指定する必要があることに注意してください。

関連情報

  • ldapsearch の使用方法について、詳しくは ldapsearch (1) の man ページを参照してください。