Администрирование ограничений LDAP

Для управления ограничениями LDAP, установленными политикой по умолчанию (Default Query Policy) или политикой на уровне сайта либо контроллера домена, в домене Эллес с помощью утилиты samba-tool используется группа подкоманд ldap policy.

См. подробнее о поддерживаемых ограничениях LDAP в разделе «Административные ограничения LDAP».

Также для просмотра и изменения доступны некоторые другие ограничения LDAP, но в текущей версии пакета inno-samba их значения не учитываются при обработке клиентских запросов к серверу LDAP.

При выполнении операций с помощью группы подкоманд ldap рекомендуется указывать набор ключей -H (URI LDAP-сервера) и --use-kerberos=required.

В этом случае для успешного выполнения подкоманды:

  • либо пользователь должен работать на сервере под доменной учетной записью;

  • либо предварительно требуется запросить билет Kerberos с помощью стандартной команды kinit.

Просмотр списка политик LDAP

Формат вызова:

samba-tool ldap policy object list [options]

Подкоманда выводит список объектов queryPolicy, существующих в контейнере CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=domain,DC=name, в корневом домене леса.

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;

  • --with-links — отображать в списке объектов queryPolicy сайты и контроллеры доменов, которым они назначены.

Примеры

Пример отображения списка объектов queryPolicy на локальном сервере с информацией о сайтах и контроллерах домена, к которым они привязаны:

samba-tool ldap policy object list --with-links

Пример отображения списка объектов queryPolicy на удаленном сервере с информацией о сайтах и контроллерах домена, к которым они привязаны:

samba-tool ldap policy object list \
    --with-links \
    -H ldap://dc1.samdom.example.com \
    -U Administrator

Создание политики LDAP

Формат вызова:

samba-tool ldap policy object create <policy-name> [options]

В качестве имени создаваемой политики ожидается общее имя (CN) объекта queryPolicy.

В результате выполнения команды в корневом домене леса создается объект CN=<policy-name>,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=domain,DC=name со значениями по умолчанию для всех ограничений (cм. описание ограничений в подразделе «Поддерживаемые ограничения»):

InitRecvTimeout=120
MaxActiveQueries=20
MaxConnections=5000
MaxConnIdleTime=900
MaxDatagramRecv=4096
MaxNotificationPerConn=5
MaxPageSize=1000
MaxPoolThreads=4
MaxQueryDuration=120
MaxReceiveBuffer=10485760
MaxResultSetSize=262144
MaxTempTableSize=10000
MaxValRange=1500

При необходимости установки собственных значений ограничений LDAP для каждого контроллера домена и/или сайта в отдельности следует создавать объекты политики queryPolicy для каждого такого сайта/контроллера.

Например:

Контроллеры DC1, DC2 и DC3 включены в сайт Site1. Если необходимо задать общие ограничения LDAP для всего сайта Site1, кроме контроллера DC2, то потребуется создать два объекта политики, условно — "site1_policy" и "dc2_policy". После создания указанных объектов политик они должны быть сначала назначены сайту и контроллеру, а затем — сконфигурированы.

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.

Примеры

Пример создания объекта queryPolicy на локальном сервере:

samba-tool ldap policy object create "Custom Policy"

Пример создания объекта queryPolicy на удаленном сервере:

samba-tool ldap policy object "Custom Policy" \
    -H ldap://dc1.samdom.example.com \
    -U Administrator

Удаление политики LDAP

Формат вызова:

samba-tool ldap policy object delete <policy-name> [options]

В качестве имени удаляемой политики ожидается общее имя (CN) объекта queryPolicy.

В результате выполнения команды из корневого домена леса удаляется объект CN=Custom Policy,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=domain,DC=name.

По умолчанию также удаляются ссылки на политику в объектах сайтов и контроллеров домена. Чтобы не удалять ссылки, используйте опцию --not-delete-links.

Попытка удалить политику по умолчанию (объект с CN Default Query Policy) приводит к ошибке.

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;

  • --not-delete-links — не удалять привязку объектов (сайтов и контроллеров домена) к удаляемой политике.

    При использовании данной опции необходимо вручную удалить привязку для каждого объекта с помощью подкоманды unlink.

Примеры

Пример удаления объекта queryPolicy на локальном сервере без удаления ссылок на него в объектах сайтов и контроллеров домена:

samba-tool ldap policy object delete "Custom Policy" --not-delete-links

Пример удаления объекта queryPolicy на удаленном сервере:

samba-tool ldap policy object delete "Custom Policy" \
    -H ldap://dc1.samdom.example.com \
    -U Administrator

Назначение политики LDAP сайту и контроллеру домена в сайте

Формат вызова:

samba-tool ldap policy object link <policy-name> <site-name> [<dc-name>] [options]

В качестве входных параметров подкоманда принимает:

  • общее имя (CN) политики;

  • имя сайта;

  • имя контроллера домена (не может использоваться без имени сайта).

В результате выполнения подкоманды указанный объект queryPolicy добавляется в атрибут queryPolicyObject объекта NTDS Settings сайта (объект ntDSSiteSettings) и контроллера домена в сайте (объект nTDSDSA).

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.

Примеры

Пример добавления объекта queryPolicy для сайта на локальном сервере:

samba-tool ldap policy object  "Custom Policy" Site1

Пример добавления объекта queryPolicy для контроллера домена в сайте на удаленном сервере:

samba-tool ldap policy object link "Custom Policy" Site1 DC1 \
    -H ldap://dc1.samdom.example.com \
    -U Administrator

Отмена назначения политики LDAP сайту и контроллеру домена в сайте

Формат вызова:

samba-tool ldap policy object unlink <policy-name> <site-name> [<dc-name>] [options]

В качестве входных параметров подкоманда принимает:

  • общее имя (CN) политики;

  • имя сайта;

  • имя контроллера домена (не может использоваться без имени сайта).

В результате выполнения подкоманды указанный объект queryPolicy удаляется из атрибута queryPolicyObject объекта NTDS Settings сайта (объект ntDSSiteSettings) и контроллера домена в сайте (объект nTDSDSA).

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.

Примеры

Пример удаления объекта queryPolicy для сайта на локальном сервере:

samba-tool ldap policy object unlink "Custom Policy" Site1

Пример удаления объекта queryPolicy для контроллера домена в сайте на удаленном сервере:

samba-tool ldap policy object unlink "Custom Policy" Site1 DC1 \
    -H ldap://dc1.samdom.example.com \
    -U Administrator

Просмотр значений ограничений LDAP

Формат вызова:

samba-tool ldap policy show <all | ldap-limit-name> [options]

Подкоманда выводит:

  • полный список ограничений LDAP со значениями, установленными политикой по умолчанию (Default Query Policy) или политикой на уровне указанного контроллера домена либо сайта, если при вызове передан ключ all;

  • текущее значение ограничения LDAP, установленное политикой по умолчанию (Default Query Policy) или политикой на уровне указанного контроллера домена либо сайта, если при вызове в качестве ключа указано одно из значений:

    • InitRecvTimeout;

    • MaxConnIdleTime;

    • MaxPageSize;

    • MaxValRange;

    • MaxNotificationPerConn;

    • MaxQueryDuration.

Параметры

Параметры вызова:

  • --dc-name — просмотр значений ограничений в рамках политики, заданной в объекте nTDSDSA указанного контроллера домена;

    В качестве значения параметра должно указываться имя хоста контроллера домена. Параметр может использоваться только совместно с --site-name.

  • --default — просмотр значений ограничений, установленных политикой по умолчанию (Default Query Policy);

    Параметр не должен использоваться совместно с --site-name или --dc-name.

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;

  • --site-name — просмотр значений ограничений в рамках политики, заданной в объекте ntDSSiteSettings указанного сайта.

    В качестве значения параметра должен указываться сайт, отличный от Default-First-Site-Name.

Примеры

Пример просмотра значений всех ограничений LDAP, установленных политикой по умолчанию, на локальном сервере:

samba-tool ldap policy show all --default

Пример просмотра значения ограничения LDAP, установленного политикой на уровне сайта, на локальном сервере:

samba-tool ldap policy show MaxValRange --site-name=Site1

Пример просмотра значения ограничения LDAP, установленного политикой на уровне контроллера домена, на удаленном сервере:

samba-tool ldap policy show MaxValRange \
   --site-name=site1 \
   --dc-name=dc1 \
   -H ldap://dc1.samdom.example.com \
   -U Administrator

Изменение значения ограничения LDAP

Формат вызова:

samba-tool ldap policy set <ldap-limit-name> <value> [options]

Подкоманда устанавливает переданное значение для указанного ограничения LDAP в рамках политики по умолчанию или политики на уровне сайта либо контроллера домена.

Доступные для изменения ограничения LDAP:

  • InitRecvTimeout;

  • MaxConnIdleTime;

  • MaxPageSize;

  • MaxValRange;

  • MaxNotificationPerConn;

  • MaxQueryDuration.

Для изменения значений ограничений LDAP, установленных в рамках объекта политики, необходимо сначала назначить данный объект сайту или контроллеру. Изменение ограничений объектов, которые не назначены сайту или контроллеру домена, в текущей версии Эллес не поддерживается.

Параметры

Параметры вызова:

  • --dc-name — изменение значения ограничения в рамках политики, заданной в объекте nTDSDSA указанного контроллера домена;

    В качестве значения параметра должно указываться имя хоста контроллера домена. Параметр может использоваться только совместно с --site-name.

  • --default — изменение значения ограничения, установленного политикой по умолчанию (Default Query Policy);

    Параметр не должен использоваться совместно с --site-name или --dc-name.

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;

  • --site-name — изменение значения ограничения в рамках политики, заданной в объекте ntDSSiteSettings указанного сайта.

    В качестве значения параметра должен указываться сайт, отличный от Default-First-Site-Name.

Примеры

Пример изменения значения ограничения LDAP в политике по умолчанию на локальном сервере:

samba-tool ldap policy set MaxValRange 1000 --default

Пример изменения значения ограничения LDAP в политике на уровне сайта на локальном сервере:

samba-tool ldap policy set MaxValRange 1000 --site-name=Site1

Пример изменения значения ограничения LDAP в политике на уровне контроллера домена на удаленном сервере:

samba-tool ldap policy set MaxValRange 1000 \
   --site-name=site1 \
   --dc-name=dc1 \
   -H ldap://dc1.samdom.example.com \
   -U Administrator