ldapsearch 命令的示例
可以在不使用 SSL 的情况下执行 DIGEST-MD5 客户端验证。以下示例使用默认的 DIGEST-MD5 标识映射来确定绑定 DN:
$ ldapsearch -h host1 -p 1389 \ -o mech=DIGEST-MD5 [ \ -o realm="example.com"] \ -o authid="dn:uid=bjensen,dc=example,dc=com" \ -w - \ -o authzid="dn:uid=bjensen,dc=example,dc=com" \ -o secProp="minssf=56,maxssf=256,noplain" \ -b "dc=example,dc=com" "(givenname=Richard)" |
上述示例说明如何使用 -o(小写字母 o)选项指定 SASL 选项。领域是可选的,但如果指定,则必须是服务器主机的全限定域名。authid 和 authzid 必须同时存在且完全相同,但不会使用适用于代理操作的 authzid。 -w 选项适用于 authid。
authid 的值是标识映射中使用的主体。authid 应包含 dn: 前缀后跟目录中的有效用户 DN,或者包含 u: 前缀后跟由客户端确定的任何字符串。authid 的这种用法允许您使用DIGEST-MD5 标识映射中显示的映射。
最常用的配置是使用 SSL 连接通过 LDAPS 安全端口提供加密,以及使用 DIGEST-MD5 提供客户端验证。以下示例将通过 SSL 执行相同的操作:
$ ldapsearch -h host1 -P 1636 \ -Z -P .mozilla/bjensen/BJE6001.slt/cert8.db \ -N "cert-example" -w - \ -o mech=DIGEST-MD5 [-o realm="example.com"] \ -o authid="dn:uid=bjensen,dc=example,dc=com" \ -o authzid="dn:uid=bjensen,dc=example,dc=com" \ -o secProp="minssf=0,maxssf=0,noplain" \ -b "dc=example,dc=com" "(givenname=Richard)" |
在此示例中,由于操作是通过 SSL 执行的,因此 ldapsearch 命令需要使用 -N 和 -w 选项。但是,这些选项不会用于客户端验证。服务器将执行 authid 值中主体的其他 DIGEST-MD5 标识映射。
- © 2010, Oracle Corporation and/or its affiliates