Server-Tools¶
LDAP Explorer bietet erweiterte Werkzeuge für die Serververwaltung und -überwachung.
Server-Information¶
Server-Details anzeigen¶
- Extras → Server-Information
- Zeigt:
| Information | Beschreibung |
|---|---|
| Vendor | Server-Hersteller |
| Version | Server-Version |
| Supported Controls | Unterstützte LDAP-Controls |
| Naming Contexts | Verfügbare Basisbereiche |
| Schema DN | Pfad zum Schema |
Root DSE¶
Die Root DSE enthält Server-Metadaten:
- Unterstützte LDAP-Versionen
- Unterstützte SASL-Mechanismen
- Verfügbare Erweiterungen
Replikationsstatus¶
Status prüfen¶
- Extras → Replikationsstatus
- Zeigt alle konfigurierten Replika-Partner
- Status: 🟢 OK | 🟡 Verzögert | 🔴 Fehler
Replikationsdetails¶
| Feld | Beschreibung |
|---|---|
| Partner | Hostname des Partners |
| Status | Verbindungsstatus |
| Letzte Sync | Zeitpunkt der letzten Synchronisierung |
| Verzögerung | Aktuelle Replikationsverzögerung |
| Fehler | Fehlermeldung (falls vorhanden) |
Replikation überwachen¶
Automatische Überwachung einrichten:
- Extras → Replikation überwachen
- Intervall festlegen (z.B. 5 Minuten)
- Benachrichtigungen konfigurieren
Schema-Browser¶
Schema anzeigen¶
- Extras → Schema-Browser
- Durchsuchen Sie:
- Objektklassen
- Attributtypen
- Syntaxen
- Matching Rules
Objektklasse anzeigen¶
Für jede Objektklasse sehen Sie:
| Eigenschaft | Beschreibung |
|---|---|
| OID | Object Identifier |
| Name | Klassenname |
| Superior | Oberklasse |
| Typ | Structural/Auxiliary/Abstract |
| MUST | Pflichtattribute |
| MAY | Optionale Attribute |
Attribut-Details¶
| Eigenschaft | Beschreibung |
|---|---|
| OID | Object Identifier |
| Name | Attributname |
| Syntax | Datentyp |
| Single-Value | Nur ein Wert erlaubt? |
| No User Modification | Nur vom System änderbar? |
Schema suchen¶
- Geben Sie einen Begriff ein
- Sucht in Objektklassen und Attributen
- Zeigt übereinstimmende Elemente
Betriebsattribute¶
Betriebsattribute anzeigen¶
- Wählen Sie einen Eintrag
- Ansicht → Betriebsattribute anzeigen
Oder im Eintrag-Panel: Alle Attribute aktivieren
Wichtige Betriebsattribute¶
| Attribut | Beschreibung |
|---|---|
createTimestamp | Erstellungszeitpunkt |
modifyTimestamp | Letzte Änderung |
creatorsName | DN des Erstellers |
modifiersName | DN des letzten Bearbeiters |
entryUUID | Eindeutige UUID |
entryCSN | Change Sequence Number |
Massenoperationen¶
Attribut für viele Einträge ändern¶
- Extras → Massenoperationen
- Suche definieren: Zieleinträge finden
- Operation wählen:
- Attribut hinzufügen
- Attribut ändern
- Attribut löschen
- Wert eingeben
- Vorschau anzeigen
- Ausführen
Beispiele¶
Alle Benutzer einer Gruppe hinzufügen:
Filter: (&(objectClass=inetOrgPerson)(department=IT))
Operation: Zur Gruppe hinzufügen
Gruppe: cn=IT-Team,ou=Gruppen,dc=example,dc=com
E-Mail-Domain ändern:
Filter: (mail=*@altedomain.com)
Operation: Attribut ersetzen (mail)
Suchen: @altedomain.com
Ersetzen: @neuedomain.com
Access Control¶
ACLs anzeigen¶
- Extras → Access Control
- Zeigt konfigurierte ACLs
Server-abhängig
Die ACL-Syntax unterscheidet sich je nach Server-Implementierung.
ACL-Syntax (OpenLDAP)¶
access to dn.subtree="ou=Benutzer,dc=example,dc=com"
by dn="cn=admin,dc=example,dc=com" write
by self write
by * read
Backup & Restore¶
LDIF-Backup erstellen¶
- Extras → Backup → LDIF erstellen
- Wählen Sie den Bereich
- Optionen konfigurieren:
- [ ] Betriebsattribute einschließen
- [ ] Binary-Daten einschließen
- Speichern
Zeitgesteuerte Backups¶
Für automatische Backups nutzen Sie ldapsearch im Cron:
#!/bin/bash
DATE=$(date +%Y%m%d)
ldapsearch -x -H ldap://localhost \
-D "cn=admin,dc=example,dc=com" -w secret \
-b "dc=example,dc=com" > /backup/ldap-$DATE.ldif
Verbindungspooling¶
Pool-Status anzeigen¶
- Extras → Verbindungen
- Zeigt aktive Verbindungen
Verbindung testen¶
- Extras → Verbindung testen
- Führt einen Test-Bind durch
- Zeigt Latenz und Status
Statistiken¶
Verzeichnisstatistiken¶
- Extras → Statistiken
- Zeigt:
| Statistik | Beschreibung |
|---|---|
| Einträge gesamt | Anzahl aller Einträge |
| Benutzer | Anzahl Benutzerkonten |
| Gruppen | Anzahl Gruppen |
| OUs | Anzahl OUs |
| Tiefe | Maximale Baumtiefe |
Größenverteilung¶
- Einträge pro Container
- Attribute pro Eintragstyp
- Speicherverbrauch (geschätzt)
Performance-Analyse¶
Abfrage-Zeitmessung¶
Jede Suche zeigt:
- Ausführungszeit
- Anzahl der Ergebnisse
- Verwendeter Index (falls verfügbar)
Langsame Abfragen identifizieren¶
- Extras → Abfrage-Log
- Sortieren nach Dauer
- Analysieren Sie langsame Filter
Optimierungstipps¶
| Problem | Lösung |
|---|---|
| Kein Index verwendet | Index für Attribut erstellen |
| Zu viele Ergebnisse | Spezifischerer Filter |
| Substring-Suche langsam | Präfix-Suche bevorzugen |
Server-Vergleich¶
Einträge vergleichen¶
- Verbinden Sie sich mit beiden Servern
- Extras → Verzeichnisse vergleichen
- Wählen Sie den Basisbereich
- Starten Sie den Vergleich
Vergleichsergebnis¶
- ✅ Identisch
- ➕ Nur auf Server A
- ➖ Nur auf Server B
- ⚡ Unterschiedlich
Synchronisation¶
Nach dem Vergleich:
- Wählen Sie die zu synchronisierenden Einträge
- Synchronisieren → Richtung wählen
- Bestätigen Sie die Änderungen
Debugging¶
LDAP-Protokoll¶
- Extras → LDAP-Debug
- Aktivieren Sie die Protokollierung
- Führen Sie Operationen durch
- Analysieren Sie die LDAP-Nachrichten
Verbindungsprobleme¶
- Extras → Netzwerk-Diagnose
- Prüft:
- DNS-Auflösung
- Port-Erreichbarkeit
- TLS-Zertifikat
- Bind-Authentifizierung
Automatisierung¶
Skript ausführen¶
- Extras → Skript ausführen
- Laden Sie ein Python-Skript
- Das Skript hat Zugriff auf die aktive Verbindung
Beispiel-Skript¶
# Alle Benutzer ohne E-Mail finden
results = connection.search(
base="ou=Benutzer,dc=example,dc=com",
filter="(&(objectClass=inetOrgPerson)(!(mail=*)))"
)
for entry in results:
print(f"Benutzer ohne E-Mail: {entry.dn}")
Best Practices¶
Regelmäßige Wartung¶
- ✅ Wöchentliche Backups
- ✅ Replikationsstatus überwachen
- ✅ Inaktive Konten bereinigen
- ✅ Protokolle prüfen
Sicherheit¶
- ✅ Admin-Zugang beschränken
- ✅ Audit-Logging aktivieren
- ✅ ACLs regelmäßig prüfen
- ✅ TLS für alle Verbindungen