Authn.tech
Startseite
  • SAML 2.0
  • OAuth 2.0
  • OIDC
  • WebAuthn / Passkey
  • MFA / TOTP
  • LDAP
  • Alle Tools
  • JWT dekodieren
  • JWT signieren
  • JWK erzeugen
  • JWK → PEM
  • PEM → JWK
  • PKCE erzeugen
  • OIDC Discovery
  • TOTP
  • WebAuthn
  • SAML-Codec
  • SAML Metadata
  • SAML Response
  • X.509-Zertifikat
  • PEM prüfen
  • Base64URL
  • LDAP-Filter
  • Übersicht & Rollen
  • OIDC Mock
  • SAML Mock
  • Mail-Server
  • LDAP-Verzeichnis
  • OIDC-Login-Demo
  • SAML-Login-Demo
  • 简体中文
  • English
  • Deutsch
GitHub
Startseite
  • SAML 2.0
  • OAuth 2.0
  • OIDC
  • WebAuthn / Passkey
  • MFA / TOTP
  • LDAP
  • Alle Tools
  • JWT dekodieren
  • JWT signieren
  • JWK erzeugen
  • JWK → PEM
  • PEM → JWK
  • PKCE erzeugen
  • OIDC Discovery
  • TOTP
  • WebAuthn
  • SAML-Codec
  • SAML Metadata
  • SAML Response
  • X.509-Zertifikat
  • PEM prüfen
  • Base64URL
  • LDAP-Filter
  • Übersicht & Rollen
  • OIDC Mock
  • SAML Mock
  • Mail-Server
  • LDAP-Verzeichnis
  • OIDC-Login-Demo
  • SAML-Login-Demo
  • 简体中文
  • English
  • Deutsch
GitHub
  • LDAP

    • LDAP-Übersicht
    • Kernkonzepte
    • Typische Workflows
    • Parameter und Syntax-Referenz

LDAP Parameter und Syntax-Referenz

Suchfilter (RFC 4515)

FormBedeutungBeispiel
(attr=value)Gleichheit(uid=alice)
(attr=*)Attribut vorhanden (present)(mail=*)
(attr=a*b*c)Teilstring (* Wildcard)(cn=Al*)、(mail=*@example.com)
(attr>=value)Größer oder gleich(uidNumber>=1000)
(attr<=value)Kleiner oder gleich(uidNumber<=2000)
(attr~=value)Approximate Matching(cn~=alise)
(&(f1)(f2)…)Logisches UND (AND)(&(objectClass=person)(uid=alice))
(|(f1)(f2)…)Logisches ODER (OR)(|(uid=alice)(uid=bob))
(!(f))Logisches NICHT (NOT)(!(objectClass=computer))
(attr:rule:=value)Extended MatchingAD Bitweise UND: (userAccountControl:1.2.840.113556.1.4.803:=2)

Wert-Escaping: Sonderzeichen müssen in \ + zwei hexadezimale Ziffern umgewandelt werden – *→\2a、(→\28、)→\29、\→\5c、NUL→\00. Der Filtergenerator erledigt das automatische Escaping.

Häufige Attribute

AttributBedeutung
dcdomainComponent (z.B. dc=example,dc=com)
ouorganizationalUnit (Organisationseinheit/Container)
cncommonName (Allgemeiner Name)
sn / givenNameNachname / Vorname
uidBenutzer-ID
mailE-Mail-Adresse
member / memberOfGruppenmitglied DN / Gruppen des Benutzers
objectClassEintragstyp (mehrwertig)
userPasswordKennwort (normalerweise nicht lesbar)
sAMAccountName / userPrincipalNameAD Login-Name / UPN

Häufige objectClass

objectClassZweck
topAbstrakte Basisklasse aller Einträge
domain / dcObjectDomain-Komponenten-Einträge
organizationalUnitContainer / OU
person → organizationalPerson → inetOrgPersonPersonal (aufeinanderfolgende Attribut-Erweiterungen)
groupOfNames / groupOfUniqueNamesGruppen (Mitglieder mit member auflisten)
posixAccount / posixGroupUnix-Konto/Gruppen (uidNumber usw.)

LDAP URL (RFC 4516)

ldap://host:port/base?attributes?scope?filter
ldaps://ldap.example.com/ou=people,dc=example,dc=com?cn,mail?sub?(uid=alice)

scope ist base / one / sub.

Häufige Ergebniscodes

CodeNameBedeutung
0successErfolg
32noSuchObjectBase DN existiert nicht
49invalidCredentialsbind fehlgeschlagen (DN/Kennwort falsch)
34invalidDNSyntaxDN-Syntaxfehler
50insufficientAccessRightsUnzureichende Berechtigung
4sizeLimitExceededRückgabegrenze überschritten
19constraintViolationEinschränkungsverletzung (z.B. Kennwortrichtlinie)

ldapsearch Schnellreferenz

# Suche (LDAPS + Servicekonto)
ldapsearch -H ldaps://ldap.example.com -x \
  -D "cn=reader,ou=apps,dc=example,dc=com" -w '****' \
  -b "dc=example,dc=com" -s sub "(&(objectClass=person)(departmentNumber=eng))" cn mail

# Kennwort eines bestimmten Benutzers überprüfen (simple bind, erfolgreich = Kennwort korrekt)
ldapwhoami -H ldaps://ldap.example.com -x \
  -D "uid=alice,ou=people,dc=example,dc=com" -w '****'

Möchten Sie direkt ausprobieren? Filtergenerator + Mock LDAP (Beispielverzeichnis dc=example,dc=com).

Zuletzt aktualisiert: 06.07.26, 08:43
Mitwirkende: linux, Claude Opus 4.8
Prev
Typische Workflows