LDIF 파일을 사용하여 OpenLDAP 시스템을 변경하는 방법

필요한 정보는 DN뿐이므로 항목 삭제는 실제로 수행할 수 있는 가장 간단한 변경입니다.

예를 들어 DIT에서 ou=othergroup 항목을 제거하려는 경우 LDIF 파일에는 다음 항목만 포함하면 됩니다.

dn: ou=othergroup,dc=example,dc=com
changetype: delete

변경을 처리하려면 위의 ldapmodify에 사용된 정확한 형식을 사용할 수 있습니다. 삭제 요청 rmothergroup.ldif로 파일을 호출하면 다음과 같이 적용됩니다.

ldapmodify -x -D "cn=admin,dc=example,dc=com" -w password -H ldap:// -f rmothergroup.ldif

이렇게 하면 시스템에서 ou=othergroup 항목이 즉시 제거됩니다.

항목 속성 수정

항목의 속성을 수정하는 것은 매우 일반적인 변경이며 항목의 DN 뒤에 changetype: modify를 지정하면 가능합니다. 속성에 대해 수행할 수 있는 수정 유형은 대부분 항목 자체에 대해 수행할 수 있는 수정 사항을 반영합니다. 이로 인해 요청된 속성 변경 유형의 세부 사항은 추가 지시문을 사용하여 나중에 지정됩니다.

항목에 속성 추가

예를 들어 changetype: modify 다음에 add: 명령을 사용하여 속성을 추가할 수 있습니다. 이것은 추가하려는 속성을 지정해야 합니다. 그런 다음 일반과 같이 속성 값을 설정합니다. 따라서 기본 형식은 다음과 같습니다.

dn: entry_to_add_attribute
changetype: modify
add: attribute_type
attribute_type: value_to_set

예를 들어 계정에 일부 이메일 주소를 추가하기 위해 다음과 같은 LDIF 파일이 있을 수 있습니다.

dn: uid=sbrown20,ou=People,dc=example,dc=com
changetype: modify
add: mail
mail: sbrown@example.com

dn: uid=jsmith1,ou=People,dc=example,dc=com
changetype: modify
add: mail
mail: jsmith1@example.com
mail: johnsmith@example.com

두 번째 항목에서 볼 수 있듯이 동시에 여러 추가를 지정할 수 있습니다. mail 속성은 여러 값을 허용하므로 허용됩니다.

ldapmodify를 사용하여 정상적으로 처리할 수 있습니다. 변경 사항이 sbrownaddmail.ldif 파일에 있는 경우 다음을 입력할 수 있습니다.

ldapmodify -x -D "cn=admin,dc=example,dc=com" -w password -H ldap:// -f sbrownaddmail.ldif

항목의 속성 값 바꾸기

또 다른 일반적인 변경은 속성의 기존 값을 수정하는 것입니다. changetype: modify 아래의 replace: 옵션을 사용하여 이 작업을 수행할 수 있습니다.

이것은 add: 명령과 거의 동일한 방식으로 작동하지만 기본적으로 항목에서 속성의 기존 항목을 모두 제거하고 나중에 정의된 값으로 바꿉니다. 예를 들어, 마지막 add: 명령에 잘못된 이메일이 있다는 것을 알게 되면 다음과 같이 replace 명령으로 수정할 수 있습니다.

dn: uid=sbrown20,ou=People,dc=example,dc=com
changetype: modify
replace: mail
mail: sbrown2@example.com

이렇게 하면 항목에 있는 mail의 모든 인스턴스가 대체된다는 점에 유의하십시오. 이는 항목당 두 번 이상 정의할 수 있는 다중 값 속성(예: mail)에 중요합니다. 속성의 단일 항목만 바꾸려면 속성 delete: 옵션(아래 설명)을 속성 add: 옵션(위에서 설명)과 함께 사용해야 합니다. ).

이 변경 사항이 sbrownchangemail.ldif라는 파일에 저장된 경우 다음을 입력하여 Sally의 이메일을 바꿀 수 있습니다.

ldapmodify -x -D "cn=admin,dc=example,dc=com" -w password -H ldap:// -f sbrownchangemail.ldif

항목에서 속성 삭제

항목에서 속성을 제거하려면 delete: 명령을 사용할 수 있습니다. 삭제하려는 속성을 옵션 값으로 지정합니다. 속성의 특정 인스턴스를 삭제하려는 경우 다음 행에서 특정 키-값 속성 발생을 지정할 수 있습니다. 그렇지 않으면 항목에서 해당 속성의 모든 항목이 제거됩니다.

예를 들어 이렇게 하면 John Smith 항목의 모든 설명 속성이 삭제됩니다.

dn: uid=jsmith1,ou=People,dc=example,dc=com
changetype: modify
delete: description

그러나 이렇게 하면 지정된 이메일만 삭제됩니다.

dn: uid=jsmith1,ou=People,dc=example,dc=com
changetype: modify
delete: mail
mail: jsmith1@example.com

이전에 John에게 두 개의 이메일 주소를 제공했으므로 다른 이메일 주소는 이 요청에서 변경되지 않은 상태로 두어야 합니다.

이러한 변경 사항이 jsmithrmdesc.ldif 및 jsmithrmextramail.ldif 파일에 있는 경우 다음을 입력하여 적용할 수 있습니다.

ldapmodify -x -D "cn=admin,dc=example,dc=com" -w password -H ldap:// -f jsmithrmdesc.ldif
ldapmodify -x -D "cn=admin,dc=example,dc=com" -w password -H ldap:// -f jsmithrmextramail.ldif

여러 속성 변경 사항 지정

여러 속성 변경 사항을 동시에 지정하는 방법에 대해 이야기하기에 좋은 시점입니다. LDIF 파일 내의 단일 항목의 경우 - 문자로만 채워진 줄로 구분하여 여러 속성 변경 사항을 지정할 수 있습니다. 구분 기호 다음에 속성 변경 유형을 지정하고 필수 속성을 지정해야 합니다.

예를 들어 John의 나머지 이메일 속성을 삭제하고 그의 이름을 "Johnny Smith\로 변경하고 다음 내용으로 파일을 생성하여 그의 위치를 추가할 수 있습니다.

dn: uid=jsmith1,ou=People,dc=example,dc=com
changetype: modify
delete: mail
-
replace: cn
cn: Johnny Smith
-
add: l
l: New York

이러한 모든 변경 사항을 하나의 명령에 적용하려면 지금까지 사용해 온 것과 동일한 ldapmodify 형식을 사용합니다.

ldapmodify -x -D "cn=admin,dc=example,dc=com" -w password -H ldap:// -f multichange.ldif

항목 이름 바꾸기 및 이동

changetype: modrdn 옵션을 사용하면 기존 항목의 이름을 바꾸거나 이동할 수 있습니다. 타겟팅하려는 dn:을 지정한 후 changetype: modrdn 옵션을 설정합니다.

항목 이름 바꾸기

시스템에 처음 입력했을 때 Sally의 사용자 이름을 잘못 입력했다고 가정해 보겠습니다. 항목의 DN에서 사용되기 때문에 항목의 RDN이 유효하지 않기 때문에 단순히 changetype: modify 및 replace: 옵션으로 바꿀 수 없습니다. 그녀의 실제 사용자 이름이 sbrown200인 경우 다음과 같은 LDIF 파일을 사용하여 항목의 DN을 변경하고 필요한 속성을 생성할 수 있습니다.

dn: uid=sbrown20,ou=People,dc=example,dc=com
changetype: modrdn
newrdn: uid=sbrown200
deleteoldrdn: 0

다음 명령으로 이 변경 사항을 적용할 수 있습니다.

ldapmodify -x -D "cn=admin,dc=example,dc=com" -w password -H ldap:// -f fixsallydn.ldif

이렇게 하면 전체 항목이 다음과 같이 표시됩니다.

dn: uid=sbrown200,ou=People,dc=example,dc=com
objectClass: inetOrgPerson
description: Sally Brown from engineering.  Sally is responsibl
 e for designing the blue prints and testing the structural int
 egrity of the design.
cn: Sally Brown
sn: Brown
uid: sbrown20
uid: sbrown200
mail: sbrown2@example.com

보시다시피 새 속성/값 쌍을 사용하도록 DN이 조정되었습니다. 이를 가능하게 하기 위해 속성이 항목에 추가되었습니다.

위의 예에서 두 가지를 알아차렸을 것입니다. 먼저 deleteoldrdn이라는 옵션을 "0”으로 설정합니다. 두 번째로 결과 항목에는 uid: sbrown20 및 uid: sbrown200이 모두 있습니다.

항목의 DN을 변경할 때 deleteoldrdn 옵션을 설정해야 합니다. deleteoldrdn을 "0\으로 설정하면 LDAP가 항목의 새 속성과 함께 DN에 사용된 이전 속성을 유지합니다. 때로는 이것이 원하는 것이지만 이전 속성을 제거하려는 경우가 많습니다. DN이 변경된 후 항목에서 완전히 삭제하십시오. 대신 deleteoldrdn을 "1”로 설정하면 됩니다.

우리가 또 실수를 해서 Sally의 실제 사용자 이름이 sbrown2라고 가정해 봅시다. deleteoldrdn을 "1\로 설정하여 이름 변경 후 항목에서 DN에서 현재 사용 중인 sbrown200 인스턴스를 제거할 수 있습니다. 추가 changetype: modify 및 delete: 쌍을 사용하여 다른 길 잃은 사용자 이름인 sbrown20을 제거합니다. 첫 번째 이름 변경 중에 이를 유지했기 때문입니다.

dn: uid=sbrown200,ou=People,dc=example,dc=com
changetype: modrdn
newrdn: uid=sbrown2
deleteoldrdn: 1

dn: uid=sbrown2,ou=People,dc=example,dc=com
changetype: modify
delete: uid
uid: sbrown20

다음과 같이 파일을 적용합니다.

ldapmodify -x -D "cn=admin,dc=example,dc=com" -w password -H ldap:// -f fix2sallydn.ldif

이 조합은 변경으로 새 사용자 이름을 추가하지 않으며(sbrown200 제거됨) 두 번째 항목 수정은 사용자 이름(sbrown20)의 원래 값을 제거합니다.

항목 이동

항목을 새 위치로 이동해야 하는 경우 changetype: modrdn에 대한 추가 설정은 newsuperior: 옵션입니다. 이 옵션을 사용할 때 DIT에서 항목을 이동할 새 위치를 지정할 수 있습니다. 이렇게 하면 변경하는 동안 지정된 상위 DN 아래에 항목이 배치됩니다.

예를 들어 Sally를 ou=superusers 항목 아래로 이동하려는 경우 이 항목을 추가한 다음 다음을 입력하여 Sally를 해당 항목으로 이동할 수 있습니다.

dn: ou=superusers,dc=example,dc=com
changetype: add
objectClass: organizationalUnit
ou: superusers

dn: uid=sbrown2,ou=People,dc=example,dc=com
changetype: modrdn
newrdn: uid=sbrown2
deleteoldrdn: 0
newsuperior: ou=superusers,dc=example,dc=com

이것이 mksuperuser.ldif라는 파일에 저장되어 있다고 가정하면 다음과 같이 변경 사항을 적용할 수 있습니다.

ldapmodify -x -D "cn=admin,dc=example,dc=com" -w password -H ldap:// -f mksuperuser.ldif

이로 인해 복사가 아닌 이동이 발생합니다.

이 경우 항목의 RDN을 실제로 변경하고 싶지 않았기 때문에 newrdn: 값을 현재와 동일한 값으로 설정했습니다. 원하는 경우 이동 중에도 쉽게 이름을 바꿀 수 있습니다. 이 경우 newsuperior: 설정은 실제로 항목 상태에 영향을 미치는 두 번째 변경 사항의 유일한 줄입니다.

여담: 항목에 이진 데이터 추가

이 섹션은 항목 작성 또는 추가 속성 정의에 대한 섹션에 맞을 수 있으므로 위의 정보와 구분됩니다.

LDAP에는 특정 속성에 대한 이진 데이터를 저장할 수 있는 기능이 있습니다. 예를 들어 inetOrgPerson 클래스는 사람의 사진이나 사용자 아이콘을 저장하는 데 사용할 수 있는 jpegPhoto라는 속성을 허용합니다. 이진 데이터를 사용할 수 있는 이 objectClass의 또 다른 속성은 audio 속성입니다.

이 유형의 데이터를 LDAP 항목에 추가하려면 특수 형식을 사용해야 합니다. 속성을 지정할 때 콜론 바로 다음에 보다 작음 문자(<)와 공백을 사용하십시오. 그런 다음 해당 파일의 경로를 포함합니다.

예를 들어 /tmp 디렉토리에 john.jpg라는 파일이 있는 경우 다음과 같은 LDIF 파일을 사용하여 파일을 John의 항목에 추가할 수 있습니다.

dn: uid=jsmith1,ou=People,dc=example,dc=com
changetype: modify
add: jpegPhoto
jpegPhoto:< file:///tmp/john.jpg

콜론의 위치, 문자 이하, 공간에 세심한 주의를 기울이십시오. 파일이 디스크에 있는 경우 file:// 접두사를 사용할 수 있습니다. 경로는 절대 경로를 사용하는 경우 루트 디렉터리를 나타내기 위해 추가 슬래시를 추가합니다.

이것은 오디오 파일과 동일한 방식으로 작동합니다.

dn: uid=jsmith1,ou=People,dc=example,dc=com
changetype: modify
add: audio
audio:< file:///tmp/hellojohn.mp3

LDIF 파일을 처리하면 실제 파일이 LDAP 디렉터리 서비스 내에서 인코딩됩니다. 이와 같은 상당한 수의 파일을 추가하면 서비스의 크기와 성능에 영향을 미치기 때문에 이 점을 명심하는 것이 중요합니다.

ldapsearch 도구를 사용하여 인코딩된 데이터를 검색해야 하는 경우 -t 플래그를 추가해야 파일을 에 쓸 수 있습니다. /tmp 디렉토리. 생성된 파일 이름은 결과에 표시됩니다.

예를 들어 이 명령을 사용하여 이진 데이터를 임시 파일에 쓸 수 있습니다.

ldapsearch -LLL -x -H ldap:// -t -b "dc=example,dc=com" "uid=jsmith1"

검색 결과는 다음과 같습니다.

dn: uid=jsmith1,ou=People,dc=example,dc=com
objectClass: inetOrgPerson
sn: Smith
uid: jsmith1
cn: Johnny Smith
l: New York
audio:< file:///tmp/ldapsearch-audio-n5GRF6

/tmp 디렉토리로 이동하면 파일을 찾을 수 있습니다. 필요에 따라 이름을 바꿀 수 있으며 디렉터리에 입력하기 전의 정확한 상태여야 합니다.

검색을 수행할 때마다 새 파일이 작성되므로 이 작업을 반복적으로 수행할 때는 주의하십시오. 주의를 기울이지 않으면 자신도 모르게 디스크를 쉽게 채울 수 있습니다.

결론

이제 LDIF 형식 파일과 몇 가지 도구를 사용하여 LDAP 디렉토리 정보 트리 내의 항목을 조작하는 방법에 대해 상당히 잘 알고 있어야 합니다. 특정 LDAP 클라이언트는 일상적인 작업에 LDIF 파일을 불필요하게 만들 수 있지만 LDIF 파일은 DIT 항목에서 일괄 작업을 수행하는 가장 좋은 방법이 될 수 있습니다. 초기 디렉터리 서비스를 설정하고 클라이언트가 데이터에 올바르게 액세스하지 못하게 할 수 있는 문제를 수정할 때 관리 목적으로 이러한 방법을 사용하여 항목을 수정하는 방법을 아는 것도 중요합니다.