Suche¶
LDAP Explorer bietet verschiedene Suchmöglichkeiten, von der einfachen Schnellsuche bis zur erweiterten LDAP-Filtersuche.
Schnellsuche¶
Die Suchleiste oben ermöglicht eine schnelle Suche:
- Geben Sie einen Suchbegriff ein
- Drücken Sie
Enter - Gefundene Einträge werden hervorgehoben
Die Schnellsuche durchsucht automatisch die Attribute cn, uid, mail und description.
Erweiterte Suche¶
Für komplexe Suchanfragen: Bearbeiten → Erweiterte Suche (Strg+Shift+F)
Suchparameter¶
| Feld | Beschreibung |
|---|---|
| Base DN | Startpunkt der Suche |
| Filter | LDAP-Suchfilter |
| Scope | Suchbereich (Subtree, One Level, Base) |
| Attribute | Zurückzugebende Attribute |
| Limit | Maximale Anzahl Ergebnisse |
Suchbereich (Scope)¶
| Scope | Beschreibung |
|---|---|
| Subtree | Alle Untereinträge rekursiv |
| One Level | Nur direkte Kinder |
| Base | Nur den Basis-Eintrag selbst |
LDAP-Filter Syntax¶
LDAP-Filter folgen der RFC 4515 Syntax.
Grundlegende Filter¶
(attribut=wert) # Gleichheit
(attribut=wert*) # Beginnt mit
(attribut=*wert) # Endet mit
(attribut=*wert*) # Enthält
(attribut=*) # Attribut existiert
(!(attribut=wert)) # Negation
Vergleichsoperatoren¶
(attribut=wert) # Gleichheit
(attribut~=wert) # Ungefähr (phonetisch)
(attribut>=wert) # Größer oder gleich
(attribut<=wert) # Kleiner oder gleich
Logische Operatoren¶
Beispiel-Filter¶
Benutzer suchen¶
# Alle Benutzer
(objectClass=person)
# Benutzer mit bestimmtem Nachnamen
(&(objectClass=person)(sn=Müller))
# Benutzer mit E-Mail-Adresse
(&(objectClass=person)(mail=*))
# Benutzer ohne Telefonnummer
(&(objectClass=person)(!(telephoneNumber=*)))
Gruppen suchen¶
# Alle Gruppen
(objectClass=groupOfNames)
# Gruppen, die einen bestimmten Benutzer enthalten
(&(objectClass=groupOfNames)(member=cn=max,ou=users,dc=example,dc=com))
Active Directory¶
# Aktive Benutzerkonten
(&(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
# Deaktivierte Konten
(&(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=2))
# Benutzer mit ablaufendem Passwort
(&(objectClass=user)(pwdLastSet<=132500000000000000))
# Gruppen mit "admin" im Namen
(&(objectClass=group)(cn=*admin*))
OpenLDAP¶
# Gesperrte Konten (ppolicy)
(&(objectClass=person)(pwdAccountLockedTime=*))
# Benutzer mit abgelaufenem Passwort
(&(objectClass=person)(pwdChangedTime<=20240101000000Z))
Suchergebnisse¶
Ergebnisliste¶
Die Ergebnisse werden in einer Tabelle angezeigt:
| Spalte | Beschreibung |
|---|---|
| DN | Distinguished Name |
| Name | Anzeigename (cn) |
| Typ | Objektklasse |
| Weitere | Konfigurierbare Attribute |
Aktionen¶
| Aktion | Beschreibung |
|---|---|
| Doppelklick | Eintrag im Baum anzeigen |
| Rechtsklick | Kontextmenü |
| Exportieren | Ergebnisse als LDIF exportieren |
Ergebnisse filtern¶
Oberhalb der Ergebnisliste können Sie zusätzlich filtern:
- Eingabe eines Suchbegriffs filtert die bereits geladenen Ergebnisse
- Nützlich bei vielen Treffern
Gespeicherte Suchen¶
Speichern Sie häufig verwendete Suchen:
Suche speichern¶
- Geben Sie den Filter ein
- Klicken Sie auf Suche speichern
- Geben Sie einen Namen ein
Gespeicherte Suche ausführen¶
- Klicken Sie auf das Dropdown neben dem Suchfeld
- Wählen Sie die gespeicherte Suche
Suche löschen¶
- Bearbeiten → Gespeicherte Suchen verwalten
- Wählen Sie die Suche
- Klicken Sie auf Löschen
Suchtipps¶
Performance¶
Schnellere Suchen
- Schränken Sie den Base DN ein
- Fordern Sie nur benötigte Attribute an
- Verwenden Sie indizierte Attribute
Escaping¶
Sonderzeichen müssen escaped werden:
| Zeichen | Escape-Sequenz |
|---|---|
* | \2a |
( | \28 |
) | \29 |
\ | \5c |
| NUL | \00 |
Beispiel:
Wildcards¶
(cn=Ma*) # Beginnt mit "Ma"
(cn=*er) # Endet mit "er"
(cn=*ann*) # Enthält "ann"
(cn=M*r) # Beginnt mit M, endet mit r
Performance-Warnung
Wildcards am Anfang (cn=*müller) sind langsam, da kein Index verwendet werden kann.
Filter-Editor¶
Der visuelle Filter-Editor hilft beim Erstellen komplexer Filter:
- Bearbeiten → Filter-Editor
- Fügen Sie Bedingungen per Drag & Drop hinzu
- Verknüpfen Sie mit AND/OR/NOT
- Klicken Sie auf Übernehmen
Beispiel¶
UND
├── objectClass = person
├── ODER
│ ├── mail = *@example.com
│ └── mail = *@example.de
└── NICHT
└── accountDisabled = TRUE
Erzeugt: