Администрирование подразделений (OU)

Подразделение — логический контейнер в домене Эллес, предназначенный для организации объектов каталога (пользователей, групп, компьютеров и других подразделений) в иерархическую структуру для упрощения управления и делегирования прав.

Для администрирования подразделений с помощью утилиты samba-tool используется группа подкоманд ou.

Добавление подразделения

Для добавления подразделения в домене Эллес используется следующий формат вызова:

  • с помощью подкоманды add:

    samba-tool ou add <ou_dn> [options]

  • с помощью подкоманды create:

    samba-tool ou create <ou_dn> [options]

Имя нового подразделения (<ou_dn>) может быть указано в виде:

  • полного уникального имени (DN), включая домен, в формате OU=<ou_name>,DC=<domain>;

  • уникального имени (DN) без домена:

    • в формате OU=<ou_name>, если подразделение не включается в другое подразделение;

    • в формате OU=<ou_name>,OU=<parent_ou_name_1>,…​,OU=<parent_ou_name_N>, если подразделение включается в другое подразделение.

      Родительские подразделения должны существовать.

Значение атрибута OU должно быть уникальным в рамках родительского подразделения или, если подразделение не включено ни в какое другое подразделение, в пределах домена.

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;

  • --description=DESCRIPTION — любая дополнительная информация о подразделении в текстовом формате.

Примеры

Пример создания нового подразделения с последующим добавлением в него дочернего подразделения:

samba-tool ou add 'OU=OrgUnit' --description='Parent organizational unit'
Added ou "OU=OrgUnit,DC=samdom,DC=example,DC=com"
samba-tool ou add 'OU=SubOrgUnit,OU=OrgUnit' --description='Child organizational unit'
Added ou "OU=SubOrgUnit,OU=OrgUnit,DC=samdom,DC=example,DC=com"

Удаление подразделения

Для удаления существующего подразделения в домене Эллес используется следующий формат вызова:

samba-tool ou delete <ou_dn> [options]

Имя удаляемого подразделения (<ou_dn>) может быть указано в виде:

  • полного уникального имени (DN), включая домен, в формате OU=<ou_name>,DC=<domain>;

  • уникального имени (DN) без домена:

    • в формате OU=<ou_name>, если подразделение не включено ни в какие другие подразделения;

    • в формате OU=<ou_name>,OU=<parent_ou_name_1>,…​,OU=<parent_ou_name_N>, если подразделение включено в другое подразделение.

Если удаляемое подразделение является родительским для других подразделений, при попытке его удаления будет возвращена ошибка LDAP error 66 LDAP_NOT_ALLOWED_ON_NON_LEAF. В этом случае для удаления такого подразделения и всех его дочерних подразделений в вызове подкоманды может быть передана опция --force-subtree-delete.

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;

  • --force-subtree-delete — принудительное удаление дочерних подразделений (рекурсивно).

Примеры

Пример удаления в домене подразделения с указанием уникального имени (DN):

samba-tool ou delete 'OU=SubOrgUnit,OU=OrgUnit,DC=samdom,DC=example,DC=com'
Deleted ou "OU=SubOrgUnit,OU=OrgUnit,DC=samdom,DC=example,DC=com"

Пример удаления в домене подразделения вместе с дочерними подразделениями:

samba-tool ou delete 'OU=OrgUnit' --force-subtree-delete
Deleted ou "OU=OrgUnit,DC=samdom,DC=example,DC=com"

Получение списка подразделений

Для получения полного списка подразделений в домене Эллес используется следующий формат вызова:

samba-tool ou list [options]

По умолчанию выводится список имен подразделений, состоящих из значений атрибута OU.

Для вывода полных уникальных имен (DN) подразделений при вызове подкоманды дополнительно может быть передана опция --full-dn.

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;

  • --full-dn — выводить список полных уникальных имен (DN) подразделений;

  • -b BASE_DN|--base-dn=BASE_DN — выводить в списке только подразделения с указанным базовым уникальным именем (DN).

Примеры

Пример получения списка имен подразделений в виде значений атрибута OU:

samba-tool ou list
OU=SubOrgUnit1,OU=OrgUnit2
OU=SubOrgUnit1,OU=OrgUnit1
OU=SubOrgUnit,OU=OrgUnit
OU=OrgUnit
OU=OrgUnit1
OU=OrgUnit2

Пример получения списка полных уникальных имен подразделений (DN):

samba-tool ou list --full-dn
OU=SubOrgUnit,OU=OrgUnit,DC=samdom,DC=example,DC=com
OU=OrgUnit,DC=samdom,DC=example,DC=com
OU=OrgUnit1,DC=samdom,DC=example,DC=com
OU=SubOrgUnit1,OU=OrgUnit1,DC=samdom,DC=example,DC=com
OU=SubOrgUnit1,OU=OrgUnit2,DC=samdom,DC=example,DC=com

Пример получения списка имен подразделений с указанием базового уникального имени (base DN):

samba-tool ou list --base-dn=OU=OrgUnit,DC=samdom,DC=example,DC=com
OU=SubOrgUnit,OU=OrgUnit,DC=samdom,DC=example,DC=com
OU=OrgUnit,DC=samdom,DC=example,DC=com

Получение информации о составе подразделения

Для получения информации о составе подразделения в домене Эллес используется следующий формат вызова:

samba-tool ou listobjects <ou_dn> [options]

Имя подразделения (<ou_dn>) может быть указано в виде:

  • полного уникального имени (DN), включая домен, в формате OU=<ou_name>,DC=<domain>;

  • уникального имени (DN) без домена:

    • в формате OU=<ou_name>, если подразделение не включено ни в какие другие подразделения;

    • в формате OU=<ou_name>,OU=<parent_ou_name_1>,…​,OU=<parent_ou_name_N>, если подразделение включено в другое подразделение.

По умолчанию выводится список общих имен (CN) и значений атрибута OU объектов, входящих в состав подразделения.

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;

  • --full-dn — выводить в списке полные уникальные имена (DN);

  • -r|--recursive — выводить список объектов рекурсивно.

    При указании опции в списке отображаются дочерние объекты объектов, включенных в указанное подразделение.

Примеры

Пример получения списка объектов, включенных в указанное подразделение:

samba-tool ou listobjects 'OU=OrgUnit'
OU=SubOrgUnit,OU=OrgUnit
CN=Group1,OU=OrgUnit
CN=User1,OU=OrgUnit

Пример получения списка полных уникальных имен (DN) объектов, включенных в указанное подразделение:

samba-tool ou listobjects 'OU=OrgUnit' --full-dn
OU=SubOrgUnit,OU=OrgUnit,DC=samdom,DC=example,DC=com
CN=Group1,OU=OrgUnit,DC=samdom,DC=example,DC=com
CN=User1,OU=OrgUnit,DC=samdom,DC=example,DC=com

Пример получения списка объектов, включенных в указанное подразделение, с дочерними объектами:

samba-tool ou listobjects 'OU=OrgUnit' --recursive
CN=User2,OU=SubOrgUnit,OU=OrgUnit
CN=Group2,OU=SubOrgUnit,OU=OrgUnit
OU=SubOrgUnit3,OU=SubOrgUnit,OU=OrgUnit
OU=SubOrgUnit,OU=OrgUnit
CN=Group1,OU=OrgUnit
CN=User1,OU=OrgUnit

Перемещение подразделения в другое подразделение

Для перемещения подразделения в домене Эллес в другое подразделение используется следующий формат вызова:

samba-tool ou move <old_ou_dn> <new_parent_ou_dn> [options]

Текущее имя подразделения (<old_ou_dn>) и имя нового родительского подразделения (<new_parent_ou_dn>) могут быть указаны в виде:

  • полного уникального имени (DN), включая домен, в формате OU=<ou_name>,DC=<domain>;

  • уникального имени (DN) без домена:

    • в формате OU=<ou_name>, если подразделение не включено ни в какие другие подразделения;

    • в формате OU=<ou_name>,OU=<parent_ou_name_1>,…​,OU=<parent_ou_name_N>, если подразделение включено в другое подразделение.

Подразделение перемещается вместе со всеми своими дочерними объектами.

Перемещение возможно только в рамках домена, в котором подразделение было создано.

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.

Примеры

Пример перемещения подразделения OrgUnit в подразделение NewParentOfOrgUnit :

samba-tool ou move 'OU=OrgUnit' 'OU=NewParentOfOrgUnit'
Moved ou "OU=OrgUnit,DC=samdom,DC=example,DC=com" to "OU=NewParentOfOrgUnit,DC=samdom,DC=example,DC=com"

После перемещения подразделение OrgUnit становится дочерним элементом подразделения NewParentOfOrgUnit. Новое уникальное имя (DN): OU=OrgUnit,OU=NewParentOfOrgUnit,DC=samdom,DC=example,DC=com.

Изменение имени подразделения

Для изменения имени подразделения в домене Эллес используется следующий формат вызова:

samba-tool ou rename <old_ou_dn> <new_ou_dn> [options]

Текущеее имя подразделения (<old_ou_dn>) и новое имя (<new_ou_dn>) могут быть указаны в виде:

  • полного уникального имени (DN), включая домен, в формате OU=<ou_name>,DC=<domain>;

  • уникального имени (DN) без домена:

    • в формате OU=<ou_name>, если подразделение не включено ни в какие другие подразделения;

    • в формате OU=<ou_name>,OU=<parent_ou_name_1>,…​,OU=<parent_ou_name_N>, если подразделение включено в другое подразделение.

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.

Примеры

Пример переименования с указанием полного уникального имени (DN) подразделения:

samba-tool ou rename 'OU=OrgUnit,DC=samdom,DC=example,DC=com' 'OU=NewNameOfOrgUnit,DC=samdom,DC=example,DC=com'
Renamed ou "OU=OrgUnit,DC=samdom,DC=example,DC=com" to "OU=NewNameOfOrgUnit,DC=samdom,DC=example,DC=com"

Пример переименования с указанием уникального имени (DN) подразделения без домена:

samba-tool ou rename 'OU=SubOrgUnit,OU=OrgUnit' 'OU=NewNameOfSubOrgUnit,OU=OrgUnit'
Renamed ou "OU=SubOrgUnit,OU=OrgUnit,DC=samdom,DC=example,DC=com" to "OU=NewNameOfOrgUnit,OU=OrgUnit,DC=samdom,DC=example,DC=com"