LDAP是轻量级目录访问协议（Lightweight Directory Access Protocol），它是一种用于访问和维护分级目录的开放式标准。LDAP通常用作企业级网络中的中央目录服务。LDAP基于客户端/服务器模型，由客户端和服务器之间的通信组成。客户端使用LDAP协议来查询和更改LDAP目录服务器中存储的数据。

ldapsearch是在Linux和Unix系统上使用的LDAP客户端工具。它允许管理员通过LDAP协议检索信息，以帮助管理和提高LDAP服务。通过ldapsearch，管理员可以在LDAP目录中查找用户和组信息，查找过期或锁定的帐户，以及其他与LDAP目录相关的信息。ldapsearch是一种强大的工具，可以帮助管理员轻松地搜索和查询LDAP目录服务器。在本文中，我们将介绍如何使用ldapsearch命令高效地搜索LDAP目录。

ldapsearch命令的基础

使用ldapsearch命令时，需要向命令行提供许多参数。下面是 ldapsearch 命令的基本语法：

```

ldapsearch [options] [search filter] [attributes]

```

- options：ldapsearch中可用的选项包括：-H，-D，-w，-b，-s，-l，-E和-v。这些选项是ldapsearch命令的标准选项，用于指定LDAP服务器和其他配置信息。

- search filter：LDAP搜索过滤器用于指定LDAP搜索的条件。它允许管理员从LDAP目录中搜索指定属性和指定值的条目。LDAP过滤器语法可以有很多不同的格式，以下是最常见的搜索过滤器语法：

```

(cn=john)

```

这将搜索所有名为John的用户对象。

- attributes：attributes选项允许管理员指定要返回的属性列表。通过这个属性，管理员可以减少搜索结果的大小并降低网络流量。若未指定此选项，ldapsearch将返回所有属性。

基本示例

假设我们需要搜索LDAP服务器中的所有用户，我们可以使用以下命令：

```

ldapsearch -x -b "dc=example,dc=com" -s sub -D "cn=admin,dc=example,dc=com" -H ldap://ldap.example.com "(objectclass=inetorgperson)"

```

这个命令使用以下参数：

- -x：使用简单身份验证。

- -b：指定LDAP搜索的基本DN。

- -s：指定搜索的范围。

- -D：指定LDAP的管理者DN。

- -H：指定LDAP服务器的主机名和端口号。

- "(objectclass=inetorgperson)"：指定要搜索的LDAP对象类。

在这个例子中，我们查询了 LDAP 目录中所有符合 inetorgperson 类别的用户。这里有几个常用的对象类：

- inetorgperson：表示一般用户或人类被。

- organizationalPerson：表示一个具有某种 识别信息（例如照片或员工号码）的人性成员。

- person：表示基本人类形态。

上面的命令将返回所有符合此过滤器的用户的完整信息。

LDAP搜索过滤语法

LDAP搜索过滤语法非常强大，因此ldapsearch命令允许管理员使用高级搜索功能。下面是一些基本示例过滤器：

1. 搜索 uid=john 的用户：

```

ldapsearch -x -b "dc=example,dc=com" -s sub -D "cn=admin,dc=example,dc=com" -H ldap://ldap.example.com "(uid=john)"

```

2. 搜索禁用的用户：

```

ldapsearch -x -b "dc=example,dc=com" -s sub -D "cn=admin,dc=example,dc=com" -H ldap://ldap.example.com "(&(objectClass=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))"

```

上面的过滤器搜索了使用“userAccountControl”属性的所有LDAP人员对有效位设置为2的用户的所有组。如果有效位为2，则此用户已被禁用。

3. 搜索在过去30天内已过期的用户：

```

ldapsearch -x -b "dc=example,dc=com" -s sub -D "cn=admin,dc=example,dc=com" -H ldap://ldap.example.com "(accountExpires<=$(($(date +%s)-2592000)))"

```

此搜索过滤器使用date命令来确定过去30天的秒数，然后计算出最后一个过期时间戳。该过滤器搜索所有已过期的LDAP帐户。

4. 搜索用户的过期密码：

```

ldapsearch -x -b "dc=example,dc=com" -s sub -D "cn=admin,dc=example,dc=com" -H ldap://ldap.example.com "(&(objectclass=person)(pwdChangedTime<=20220101000000Z)(pwdMaxAge=2592000)(pwdAccountLockedTime=000001010000Z)(userAccountControl=512))"

```

该过滤器搜索所有密码过期的LDAP用户。在此过滤器中，pwdChangedTime、pwdMaxAge、pwdAccountLockedTime和userAccountControl属性用于确定过期或锁定的帐户。

LDAP搜索属性

当使用ldapsearch命令进行LDAP搜索时，管理员有不同的选项和属性可供选择。下面是一些最基本和最常用的搜索属性：

- cn: 公称名称、简称或其他名称。

- displayName: 显示名称

- description: 描述信息

- objectClass: 表示LDAP对象所属的类

- dn: 目录名称，LDAP中的对象具有唯一的dn属性

- mail: 电子邮件地址

- member: 成员DN列表，指定组成员DN

- uid: 用户ID

在LDAP目录中的对象属性可以根据 LDAP schemab变得非常复杂，每个LDAP实现都会稍有不同。为了更好地了解LDAP中使用的架构属性，请参阅LDAP实现的相应文档。

高级属性搜索示例

假设我们需要在LDAP服务器上搜索所有用户名为John的用户，并显示指定的属性列表。我们可以使用以下命令：

```

ldapsearch -x -b "dc=example,dc=com" -s sub -D "cn=admin,dc=example,dc=com" -H ldap://ldap.example.com "(cn=john)" cn displayName mail

```

这个命令将显示所有用户名为John的用户的cn、displayName和mail属性。

结论

ldapsearch是一种强大的工具，可帮助管理员高效地搜索LDAP目录，并在LDAP目录服务器上执行其他操作。LDAP搜索仅仅是 LDAP 的一种基本功能，还有其他命令可以让管理员进行配置和管理LDAP。掌握LDAP搜索的基础和进阶技巧是管理员成功管理LDAP的关键。在此文章中，我们了解了ldapsearch命令的基础和高级选项，并提供了一些常用示例过滤器和搜索属性，以帮助管理员高效地管理他们的LDAP目录服务。