Администрирование ограничений LDAP
Для управления ограничениями LDAP, установленными политикой по умолчанию (Default Query Policy
) или политикой на уровне сайта либо контроллера домена, в домене Эллес с помощью утилиты samba-tool
используется группа подкоманд ldap policy
.
См. подробнее о поддерживаемых ограничениях LDAP в разделе «Административные ограничения LDAP». Также для просмотра и изменения доступны некоторые другие ограничения LDAP, но в текущей версии пакета inno-samba их значения не учитываются при обработке клиентских запросов к серверу LDAP. |
При выполнении операций с помощью группы подкоманд В этом случае для успешного выполнения подкоманды:
|
Просмотр списка политик LDAP
Формат вызова:
samba-tool ldap policy object list [options]
Подкоманда выводит список объектов queryPolicy
, существующих в контейнере CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=domain,DC=name
, в корневом домене леса.
Параметры
Параметры вызова:
-
-H URL|--URL=URL
— URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта; -
--with-links
— отображать в списке объектовqueryPolicy
сайты и контроллеры доменов, которым они назначены.
Примеры
Пример отображения списка объектов queryPolicy
на локальном сервере с информацией о сайтах и контроллерах домена, к которым они привязаны:
samba-tool ldap policy object list --with-links
Пример отображения списка объектов queryPolicy
на удаленном сервере с информацией о сайтах и контроллерах домена, к которым они привязаны:
samba-tool ldap policy object list \ --with-links \ -H ldap://dc1.samdom.example.com \ -U Administrator
Создание политики LDAP
Формат вызова:
samba-tool ldap policy object create <policy-name> [options]
В качестве имени создаваемой политики ожидается общее имя (CN) объекта queryPolicy
.
В результате выполнения команды в корневом домене леса создается объект CN=<policy-name>,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=domain,DC=name
со значениями по умолчанию для всех ограничений (см. описание ограничений в подразделе
«Поддерживаемые ограничения»):
InitRecvTimeout=120 MaxActiveQueries=20 MaxConnections=5000 MaxConnIdleTime=900 MaxDatagramRecv=4096 MaxNotificationPerConn=5 MaxPageSize=1000 MaxPoolThreads=4 MaxQueryDuration=120 MaxReceiveBuffer=10485760 MaxResultSetSize=262144 MaxTempTableSize=10000 MaxValRange=1500
При необходимости установки собственных значений ограничений LDAP для каждого контроллера домена и/или сайта в отдельности следует создавать объекты политики Например: Контроллеры DC1, DC2 и DC3 включены в сайт Site1. Если необходимо задать общие ограничения LDAP для всего сайта Site1, кроме контроллера DC2, то потребуется создать два объекта политики, условно — "site1_policy" и "dc2_policy". После создания указанных объектов политик они должны быть сначала назначены сайту и контроллеру, а затем — сконфигурированы. |
Удаление политики LDAP
Формат вызова:
samba-tool ldap policy object delete <policy-name> [options]
В качестве имени удаляемой политики ожидается общее имя (CN) объекта queryPolicy
.
В результате выполнения команды из корневого домена леса удаляется объект CN=Custom Policy,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=domain,DC=name
.
По умолчанию также удаляются ссылки на политику в объектах сайтов и контроллеров домена. Чтобы не удалять ссылки, используйте опцию --not-delete-links
.
Попытка удалить политику по умолчанию (объект с CN Default Query Policy
) приводит к ошибке.
Параметры
Параметры вызова:
-
-H URL|--URL=URL
— URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта; -
--not-delete-links
— не удалять привязку объектов (сайтов и контроллеров домена) к удаляемой политике.При использовании данной опции необходимо вручную удалить привязку для каждого объекта с помощью подкоманды
unlink
.
Примеры
Пример удаления объекта queryPolicy
на локальном сервере без удаления ссылок на него в объектах сайтов и контроллеров домена:
samba-tool ldap policy object delete "Custom Policy" --not-delete-links
Пример удаления объекта queryPolicy
на удаленном сервере:
samba-tool ldap policy object delete "Custom Policy" \ -H ldap://dc1.samdom.example.com \ -U Administrator
Назначение политики LDAP сайту и контроллеру домена в сайте
Формат вызова:
samba-tool ldap policy object link <policy-name> <site-name> [<dc-name>] [options]
В качестве входных параметров подкоманда принимает:
-
общее имя (CN) политики;
-
имя сайта;
-
имя контроллера домена (не может использоваться без имени сайта).
В результате выполнения подкоманды указанный объект queryPolicy
добавляется в атрибут queryPolicyObject
объекта NTDS Settings
сайта (объект ntDSSiteSettings
) и контроллера домена в сайте (объект nTDSDSA
).
Параметры
Параметры вызова:
-
-H URL|--URL=URL
— URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.
Примеры
Пример добавления объекта queryPolicy
для сайта на локальном сервере:
samba-tool ldap policy object "Custom Policy" Site1
Пример добавления объекта queryPolicy
для контроллера домена в сайте на удаленном сервере:
samba-tool ldap policy object link "Custom Policy" Site1 DC1 \ -H ldap://dc1.samdom.example.com \ -U Administrator
Отмена назначения политики LDAP сайту и контроллеру домена в сайте
Формат вызова:
samba-tool ldap policy object unlink <policy-name> <site-name> [<dc-name>] [options]
В качестве входных параметров подкоманда принимает:
-
общее имя (CN) политики;
-
имя сайта;
-
имя контроллера домена (не может использоваться без имени сайта).
В результате выполнения подкоманды указанный объект queryPolicy
удаляется из атрибута queryPolicyObject
объекта NTDS Settings
сайта (объект ntDSSiteSettings
) и контроллера домена в сайте (объект nTDSDSA
).
Параметры
Параметры вызова:
-
-H URL|--URL=URL
— URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.
Примеры
Пример удаления объекта queryPolicy
для сайта на локальном сервере:
samba-tool ldap policy object unlink "Custom Policy" Site1
Пример удаления объекта queryPolicy
для контроллера домена в сайте на удаленном сервере:
samba-tool ldap policy object unlink "Custom Policy" Site1 DC1 \ -H ldap://dc1.samdom.example.com \ -U Administrator
Просмотр значений ограничений LDAP
Формат вызова:
samba-tool ldap policy show <all | ldap-limit-name> [options]
Подкоманда выводит:
-
полный список ограничений LDAP со значениями, установленными политикой по умолчанию (
Default Query Policy
) или политикой на уровне указанного контроллера домена либо сайта, если при вызове передан ключall
; -
текущее значение ограничения LDAP, установленное политикой по умолчанию (
Default Query Policy
) или политикой на уровне указанного контроллера домена либо сайта, если при вызове в качестве ключа указано одно из значений:-
InitRecvTimeout
; -
MaxConnIdleTime
; -
MaxPageSize
; -
MaxValRange
; -
MaxNotificationPerConn
; -
MaxQueryDuration
.
-
Параметры
Параметры вызова:
-
--dc-name
— просмотр значений ограничений в рамках политики, заданной в объектеnTDSDSA
указанного контроллера домена;В качестве значения параметра должно указываться имя хоста контроллера домена. Параметр может использоваться только совместно с
--site-name
. -
--default
— просмотр значений ограничений, установленных политикой по умолчанию (Default Query Policy
);Параметр не должен использоваться совместно с
--site-name
или--dc-name
. -
-H URL|--URL=URL
— URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта; -
--site-name
— просмотр значений ограничений в рамках политики, заданной в объектеntDSSiteSettings
указанного сайта.В качестве значения параметра должен указываться сайт, отличный от
Default-First-Site-Name
.
Примеры
Пример просмотра значений всех ограничений LDAP, установленных политикой по умолчанию, на локальном сервере:
samba-tool ldap policy show all --default
Пример просмотра значения ограничения LDAP, установленного политикой на уровне сайта, на локальном сервере:
samba-tool ldap policy show MaxValRange --site-name=Site1
Пример просмотра значения ограничения LDAP, установленного политикой на уровне контроллера домена, на удаленном сервере:
samba-tool ldap policy show MaxValRange \ --site-name=site1 \ --dc-name=dc1 \ -H ldap://dc1.samdom.example.com \ -U Administrator
Изменение значения ограничения LDAP
Формат вызова:
samba-tool ldap policy set <ldap-limit-name> <value> [options]
Подкоманда устанавливает переданное значение для указанного ограничения LDAP в рамках политики по умолчанию или политики на уровне сайта либо контроллера домена.
Доступные для изменения ограничения LDAP:
-
InitRecvTimeout
; -
MaxConnIdleTime
; -
MaxPageSize
; -
MaxValRange
; -
MaxNotificationPerConn
; -
MaxQueryDuration
.
Для изменения значений ограничений LDAP, установленных в рамках объекта политики, необходимо сначала назначить данный объект сайту или контроллеру. Изменение ограничений объектов, которые не назначены сайту или контроллеру домена, в текущей версии Эллес не поддерживается. |
Параметры
Параметры вызова:
-
--dc-name
— изменение значения ограничения в рамках политики, заданной в объектеnTDSDSA
указанного контроллера домена;В качестве значения параметра должно указываться имя хоста контроллера домена. Параметр может использоваться только совместно с
--site-name
. -
--default
— изменение значения ограничения, установленного политикой по умолчанию (Default Query Policy
);Параметр не должен использоваться совместно с
--site-name
или--dc-name
. -
-H URL|--URL=URL
— URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта; -
--site-name
— изменение значения ограничения в рамках политики, заданной в объектеntDSSiteSettings
указанного сайта.В качестве значения параметра должен указываться сайт, отличный от
Default-First-Site-Name
.
Примеры
Пример изменения значения ограничения LDAP в политике по умолчанию на локальном сервере:
samba-tool ldap policy set MaxValRange 1000 --default
Пример изменения значения ограничения LDAP в политике на уровне сайта на локальном сервере:
samba-tool ldap policy set MaxValRange 1000 --site-name=Site1
Пример изменения значения ограничения LDAP в политике на уровне контроллера домена на удаленном сервере:
samba-tool ldap policy set MaxValRange 1000 \ --site-name=site1 \ --dc-name=dc1 \ -H ldap://dc1.samdom.example.com \ -U Administrator