Запросы LDAP

Помимо возможности создания запросов к главной базе данных Management Suite предоставляет также утилиту управления каталогами, с помощью которой можно осуществлять поиск, доступ и управление устройствами в других каталогах через протокол LDAP (Lightweight Directory Access Protocol).

Вы можете запрашивать устройства на основании указанных атрибутов, таких как тип процессора или операционная система. Вы также можете делать запросы на основании специфических выборочных атрибутов, например, идентификатора работника или подразделения.

Для получения информации о создании и выполнении запросов баз данных из групп запросов в сетевом представлении см. раздел Запросы баз данных.

В этой главе вы изучите следующее:

Конфигурирование каталогов LDAP

С помощью диспетчера каталогов можно управлять каталогами LDAP, которые используются в LANDesk Management Suite. Сервер LDAP, имя пользователя и пароль, введенные вами, сохраняются и используются при просмотре или выполнении запросов к каталогу. Если вы изменяете пароль сконфигурированного пользователя в каталоге LDAP, необходимо также изменить пароль в этой утилите.

ПРИМЕЧАНИЕ: Учетная запись, которая настраивается в диспетчере каталогов, должна располагать возможностью чтения данных пользователей, компьютеров и групп, используемых для управления с помощью LDMS.

Для настройки нового каталога выполните следующие действия:

  1. Щелкните Конфигурация > Управление каталогами (Configure > Manage Directories).
  2. Щелкните Добавить (Add).
  3. Введите DNS-имя сервера каталогов в поле LDAP://.
  4. Введите имя пользователя и пароль.

ПРИМЕЧАНИЕ: Если используется Active Directory, введите имя в формате <имя_домена>\<имя_пользователя_nt>. Если используется другая служба каталога, введите характерное имя пользователя.

  1. Щелкните ОК, чтобы сохранить информацию. Перед закрытием диалогового окна введенная информация проверяется на соответствие каталогу.

Для изменения существующей конфигурации каталога выполните следующие действия:

  1. Щелкните Конфигурация > Управление каталогами (Configure > Manage Directories).
  2. Щелкните нужный каталог.
  3. Щелкните Правка (Edit).
  4. Внесите нужные изменения в данные сервера, имя пользователя, пароль.
  5. Щелкните ОК, чтобы сохранить информацию. Перед закрытием диалогового окна информация проверяется на соответствие каталогу.

Для удаления существующей конфигурации каталога выполните следующие действия:

  1. Щелкните Конфигурация > Управление каталогами (Configure > Manage Directories).
  2. Щелкните нужный каталог.
  3. Щелкните Удалить (Delete).

ПРИМЕЧАНИЕ: При удалении каталога удаляются также все запросы LDAP, в которых используется этот каталог.

Окно "Диспетчер каталогов" (Directory manager)

С помощью диспетчера каталогов можно выполнять следующие задачи:

С помощью диспетчера каталогов можно перетаскивать группы LDAP и сохраненные запросы LDAP в запланированные задачи, делая их целями задач.

В окне диспетчера каталогов имеется две панели: панель каталога слева и панель предварительного просмотра справа.

Панель каталога

На панели каталога отображаются все зарегистрированные каталоги и пользователи. Как администратор вы можете указать имя зарегистрированного каталога и посмотреть список запросов, связанных с этим каталогом. Вы можете создать и затем сохранить новые запросы для зарегистрированного каталога, используя правую кнопку мыши или раскрывающиеся меню. После создания каталога вы можете перетащить его в окно Запланированные задачи (Scheduled tasks), чтобы задача применялась к пользователям, соответствующим запросу.

Панель предварительного просмотра

Когда вы выбираете сохраненный запрос в панели каталога диспетчера каталогов, расположенной в левой части диалогового окна, в панели предварительного просмотра справа появляются политики и задачи, являющиеся целевыми объектами запроса. Точно так же, когда в панели каталога выбирается отдельный пользователь LDAP, в панели предварительного просмотра появляются политики и задачи, являющиеся целевыми объектами для этого пользователя.

Создание запросов каталога LDAP

Создание и сохранение запроса каталога

Процесс создания запроса для каталога и его сохранение разделены на две процедуры:

Выбор объекта в каталоге LDAP и инициация нового запроса
  1. Щелкните Сервис > Распространение > Диспетчер каталогов (Tools > Distribution > Directory Manager).
  2. Просмотрите панель каталога в окне Диспетчер каталогов (Directory Manager) и выберите объект в каталоге LDAP. Запрос LDAP, который вы создадите, возвратит результаты поиска из этой точки далее вниз в дереве каталога.
  3. В диспетчере каталогов на панели инструментов нажмите кнопку Новый запрос (New query). Помните, что эта кнопка появляется только, когда в корне дерева каталога будет выбрана организация (например, o=my company) или организационная единица (ou=engineering). В других случаях кнопка будет отсутствовать.
  4. Появляется диалоговое окно Основной запрос LDAP (Basic LDAP query).
Создание, тестирование и сохранение запроса
  1. В диалоговом окне Основной запрос LDAP (Basic LDAP query) в списке атрибутов каталога щелкните атрибут, который будет критерием запроса (например = department).
  2. Выберите оператор сравнения для запроса (=,<=, >=).
  3. Введите значение для атрибута (например, department = engineering)
  4. Для создания сложного запроса, содержащего несколько атрибутов, выберите комбинацию оператора (И или ИЛИ) и повторите действия (1 - 3), столько раз, сколько понадобится.
  5. После завершения создания запроса нажмите Вставка (Insert):
  6. Для проверки созданного запроса щелкните Тест запроса (Test query).
  7. Для сохранения запроса щелкните Сохранить (Save). Имя сохраненного запроса появится в разделе Сохраненные запросы (Saved queries) в панели каталога в окне диспетчера каталогов.

Диалоговое окно "Основной запрос LDAP"

Диалоговое окно "Сохранить запрос LDAP"

В диалоговом окне Основной запрос LDAP (Basic LDAP query) щелкните Сохранить (Save), чтобы открыть диалоговое окно Сохранить запрос LDAP (Save LDAP query), в котором отображаются следующие функции:

Диалоговое окно "Свойства каталога"

На панели инструментов диспетчера каталогов нажмите кнопку Управление каталогом (Manage directory), чтобы открыть диалоговое окно Свойства каталога (Directory properties). В этом диалоговом окне можно начать управление новым каталогом или просмотреть свойства текущего управляемого каталога. В этом диалоговом окне показан также URL-адрес сервера LDAP и информация об аутентификации, необходимая для подключения к каталогу LDAP.

Диалоговое окно "Расширенный запрос LDAP"

В диалоговом окне Основной запрос LDAP (Basic LDAP query) щелкните Дополнительно (Advanced), чтобы открыть диалоговое окно Расширенный запрос LDAP (Advanced LDAP query), в котором отображаются следующие функции:

Диалоговое окно Расширенный запрос LDAP (Advanced LDAP query) появляется при изменении уже созданного запроса. Кроме того, если в диспетчере каталогов выбрана группа LDAP, а затем создается запрос, диалоговое окно Расширенный запрос LDAP (Advanced LDAP query) появляется с запросом по умолчанию, который возвращает пользователей, являющихся членами группы. Вы не можете изменить синтаксис этого используемого по умолчанию запроса; запрос можно только сохранить.

Информация о LDAP (Lightweight Directory Access Protocol)

Протокол LDAP (Lightweight Directory Access Protocol) - стандартный отраслевой протокол для доступа и просмотра информации о пользователях и устройствах. LDAP позволяет систематизировать и хранить информацию в каталоге. Каталог LDAP является динамическим и может обновляться по необходимости, а также является распределенным и защищенным от сбоев какой-либо его точке. Примерами таких каталогов LDAP являются сервис каталога Novell (Novell Directory Services – NDS) и Microsoft Active Directory Services (ADS).

В следующих примерах отображены запросы LDAP, которые могут быть использованы для поиска в каталоге:

Процесс определения формата фильтра поиска (от RFC 1960):

Метка <attr> представляет тип атрибута (AttributeType). Маркер <value> — это строка, представляющая значение атрибута (AttributeValue), формат которого определяется базовой службой каталога.

Если значение <value> должно содержать один из символов * или ( или ), перед ним нужно указать символ косой черты (\) для отмены его обработки.