Администрирование ограничений LDAP

Для управления ограничениями LDAP, установленными политикой по умолчанию (Default Query Policy) или политикой на уровне сайта либо контроллера домена, в домене Inno Samba с помощью утилиты samba-tool используется группа подкоманд ldap.

См. подробнее о поддерживаемых ограничениях LDAP в разделе «Административные ограничения LDAP».

Также для просмотра и изменения доступны некоторые другие ограничения LDAP, но в текущей версии пакета inno-samba их значения не учитываются при обработке клиентских запросов к серверу LDAP.

При выполнении операций с помощью группы подкоманд ldap рекомендуется указывать набор ключей -H (URI LDAP-сервера) и --use-kerberos=required.

В этом случае для успешного выполнения подкоманды:

  • либо пользователь должен работать на сервере под доменной учетной записью;

  • либо предварительно требуется запросить билет Kerberos с помощью стандартной команды kinit.

Просмотр значений ограничений LDAP

Формат вызова:

samba-tool ldap policy show <all | ldap-limit-name> [options]

Подкоманда выводит:

  • полный список ограничений LDAP со значениями, установленными политикой по умолчанию (Default Query Policy) или политикой на уровне указанного контроллера домена либо сайта, если при вызове передан ключ all;

  • текущее значение ограничения LDAP, установленное политикой по умолчанию (Default Query Policy) или политикой на уровне указанного контроллера домена либо сайта, если при вызове в качестве ключа указано одно из значений:

    • InitRecvTimeout;

    • MaxConnIdleTime;

    • MaxPageSize;

    • MaxValRange;

    • MaxNotificationPerConn;

    • MaxQueryDuration.

Параметры

Параметры вызова:

  • --dc-name — просмотр значений ограничений в рамках политики, заданной в объекте nTDSDSA указанного контроллера домена;

    В качестве значения параметра должно указываться имя хоста контроллера домена. Параметр может использоваться только совместно с --site-name.

  • --default — просмотр значений ограничений, установленных политикой по умолчанию (Default Query Policy);

    Параметр не должен использоваться совместно с --site-name или --dc-name.

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;

  • --site-name — просмотр значений ограничений в рамках политики, заданной в объекте ntDSSiteSettings указанного сайта.

    В качестве значения параметра должен указываться сайт, отличный от Default-First-Site-Name.

Примеры

Пример просмотра значений всех ограничений LDAP, установленных политикой по умолчанию, на локальном сервере:

samba-tool ldap policy show all --default

Пример просмотра значения ограничения LDAP, установленного политикой на уровне сайта, на локальном сервере:

samba-tool ldap policy show MaxValRange --site-name=Site1

Пример просмотра значения ограничения LDAP, установленного политикой на уровне контроллера домена, на удаленном сервере:

samba-tool ldap policy show MaxValRange \
   --site-name=site1 \
   --dc-name=dc1 \
   -H ldap://dc1.samdom.example.com \
   -U Administrator

Изменение значения ограничения LDAP

Формат вызова:

samba-tool ldap policy set <ldap-limit-name> <value> [options]

Подкоманда устанавливает переданное значение для указанного ограничения LDAP в рамках политики по умолчанию или политики на уровне сайта либо контроллера домена.

Доступные для изменения ограничения LDAP:

  • InitRecvTimeout;

  • MaxConnIdleTime;

  • MaxPageSize;

  • MaxValRange;

  • MaxNotificationPerConn;

  • MaxQueryDuration.

Параметры

Параметры вызова:

  • --dc-name — изменение значения ограничения в рамках политики, заданной в объекте nTDSDSA указанного контроллера домена;

    В качестве значения параметра должно указываться имя хоста контроллера домена. Параметр может использоваться только совместно с --site-name.

  • --default — изменение значения ограничения, установленного политикой по умолчанию (Default Query Policy);

    Параметр не должен использоваться совместно с --site-name или --dc-name.

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;

  • --site-name — изменение значения ограничения в рамках политики, заданной в объекте ntDSSiteSettings указанного сайта.

    В качестве значения параметра должен указываться сайт, отличный от Default-First-Site-Name.

Примеры

Пример изменения значения ограничения LDAP в политике по умолчанию на локальном сервере:

samba-tool ldap policy set MaxValRange 1000 --default

Пример изменения значения ограничения LDAP в политике на уровне сайта на локальном сервере:

samba-tool ldap policy set MaxValRange 1000 --site-name=Site1

Пример изменения значения ограничения LDAP в политике на уровне контроллера домена на удаленном сервере:

samba-tool ldap policy set MaxValRange 1000 \
   --site-name=site1 \
   --dc-name=dc1 \
   -H ldap://dc1.samdom.example.com \
   -U Administrator