ldapsearch

LDAP 検索コマンド行ユーティリティー

概要

ldapsearch [-a deref] [-A] [-b searchbase] [-B] [-c pattern] [-C charset] 
[-d debuglevel][-D binddn] [-e] [-f file] [-F sep] [-G realm] [-h ldaphost] 
[-i file][-j limit] [-J limit] [-k] [-K keyfile]
[-l timelimit] [-L] [-m mechanism] [-M] [-n] [-N certificatename]
[-o attr_type] [-O maxhops] [-p ldapport] [-P keyfilepw] [-q pagesize]
[-R] [-s scope ] [-t] [-T seconds] [-U username] [-v] [-V version]
[-w passwd | ?] [-x] [-y proxydn] [-Y] [-z sizelimit] [-Z]
filter [-9 p] [-9 s] [attrs…]

説明

ldapsearch は、 ldap_search アプリケーション・プログラミング・インターフェース (API) へのコマンド行インターフェースです。

ldapsearch は LDAP サーバーへの接続を開き、バインドし、フィルターを使用して検索を行います。フィルターは、LDAP フィルターのストリング表記に準拠している必要があります (詳しくは、Directory Server APIs の ldap_search を参照してください)。

ldapsearch により 1 つまたは複数の項目が見つかると、 attrs で指定された属性がリトリーブされ、項目および値は標準出力に書き込まれます。 attrs がリストされていない場合、すべての属性が戻されます。

ldapsearch の構文ヘルプを表示するには、 ldapsearch -? を入力します。

オプション

-a deref

別名の逆参照をどのように行うかを指定します。 deref は、 never、 always、 search、find のいずれかです。これは、それぞれ、どのようなときも別名を逆参照しない、常に逆参照する、検索時に逆参照する、検索対象の基本オブジェクトを見つけるときのみ逆参照する、を意味します。デフォルトでは、別名は逆参照されません。

-A

属性だけ (値ではなく) を検索します。これは、項目内に属性があるかどうかを知りたいだけで、特定の値には関心がない場合に便利です。

-b searchbase

デフォルトの代わりに、searchbase を検索の開始点として使用します。 -b を指定しない場合、ユーティリティーは、 LDAP_BASEDN 環境変数で searchbase の定義を調べます。どちらも設定されていない場合、デフォルト・ベースは "" に設定されます。

-B

非 ASCII 値の表示を抑止しません。これは、ISO-8859.1 などの代替文字セットで表される値を扱うときに便利です。このオプションは、-L オプションを指定すると暗黙的に指定されます。

-c pattern

永続検索を実行します。パターン形式が ps:changeType[:changesOnly[:entryChangeControls]] になるようにしてください。ここで、changeType は add、delete、modify、moddn、および any とすることができます。 changesOnly パラメーターと entryChangeControls パラメーターはブール・パラメーターであり、TRUE または FALSE に設定することができます。

注: 別名逆参照オプションが「find」のときは、検索ベース・オブジェクトが別名であれば、検索ベース・オブジェクトだけを逆参照することができます。つまり、検索ベース・オブジェクトが 1 レベル検索またはサブツリー検索の場合でも、このベース配下にある従属別名項目は逆逆参照されないはずです。ただし、検索ベース・オブジェクトが変更済み項目を報告する永続検索であり、かつ変更済み項目がたまたま別名である場合は、その別名が検索ベースに従属する場合でも逆参照されます。

-C charset

ldapsearch ユーティリティーへの入力として提供されるストリングが、ローカル文字セット (charset によって指定) で表されるように指定します。ストリングの入力には、フィルター、バインド DN、およびベース DN が含まれています。同様に、ldapsearch は、データを表示する際、 LDAP サーバーから受け取ったデータを指定の文字セットに変換します。入力ストリングのコード・ページがジョブのコード・ページ値と異なる場合には、-C charset オプションを使用します。サポートされている charset 値について調べるには、ldap_set_iconv_local_charset() API を参照してください。また、-C オプションと -L オプションを両方とも指定する場合、入力は指定した文字セットによるものと見なされますが、 ldapsearch からの出力は常に UTF-8 表示で保持されるか、印刷不能文字が検出される場合には、そのデータの base-64 エンコード表示で示されます。これは、標準の LDIF ファイルにはストリング・データの UTF-8 (または、 base-64 エンコードの UTF-8) 表示のみが含まれているためです。 charset のサポートされる値は、バージョン 1 LDIF ファイルでオプションとして定義されている charset タグのためにサポートされている値と同じであることに注意してください。

-d debuglevel

LDAP デバッグ・レベルを debuglevel にセットします。

-D binddn

binddn を使用して LDAP ディレクトリーにバインドします。 binddn はストリング表記の DN です (LDAP 識別名を参照)。 -m DIGEST-MD5 で使用する場合は、権限 ID を指定するために使用します。これは DN とすることもできるし、あるいは「u:」または「dn:」で始まる authzId ストリングとすることもできます。

-e

LDAP ライブラリーのバージョン情報を表示し、終了します。

-f

「file」内のフィルターを使用して一連の検索を実行します。フィルターを「%s」で置き換える必要があります。

-F sep

属性名と属性値の間のフィールド区切り記号として、sep を使用します。 -L フラグを指定しなかった場合、デフォルトの区切り記号は '=' です。この場合、このオプションは無視されます。

-G realm

レルムを指定します。このパラメーターはオプションです。-m DIGEST-MD5 と一緒に使用すると、その値はバインド中にサーバーに渡されます。

-g before:after:index:count| before:after:value

「before」と「after」は、「index」を囲む項目の数であり、「count」はコンテンツの数、「value」は 1 次ソート・キーのアサーション値です。

-h ldaphost

LDAP サーバーを実行する代替ホストを指定します。

-i file

ファイル内の各行に対する LDAP 検索を実行しながら、ファイルから一連の行を読み取ります。この場合、コマンド行で与えられるフィルターがパターンとして扱われ、そこで最初に現れる % がファイルからの行で置き換えられます。ファイルが単一の "-" 文字である場合、行は標準入力から読み取られます。

例えば、コマンド ldapsearch -V3 -v -b "o=sample" -D "cn=admin" -w ldap -i filter.input %s dn では、filter.input ファイルが以下のフィルター情報を含むことがあります。

(cn=*Z)
(cn=*Z*)
(cn=Z*)
(cn=*Z*)
(cn~=A)
(cn>=A)
(cn<=B)

注: 各フィルターは別々の行に指定する必要があります。

コマンドは、cn=*Z で始まる各フィルターに対してサブツリー o=sample の検索を実行します。この検索が完了すると、次のフィルター cn=*Z* で検索が始まり、最後のフィルター cn<=B の検索が完了するまで続きます。

注: -i < file> オプションが -f<file> オプションに取って代わります。 -f オプションは推奨されませんが、まだサポートされています。

-j limit

項目内の属性として戻すことができる値の最大数。デフォルト値は 0 で、無制限を意味します。

-J limit

項目として戻すことができる合計属性値の最大数。デフォルト値は 0 で、無制限を意味します。

-k

バインド時にサーバー管理制御を使用します。

-K keyfile

SSL キー・データベース・ファイルの名前を指定します。キー・データベース・ファイルが現行ディレクトリーにない場合は、完全修飾キー・データベース・ファイル名を指定してください。

ユーティリティーがキー・データベースを探し出すことができない場合には、デフォルトのトラステッド認証局ルートのハードコーディングされたセットが使われます。キー・データベース・ファイルには、一般に、クライアントが信頼している認証局 (CA) の 1 つまたは複数の証明書が含まれています。これらのタイプの X.509 証明書は、トラステッド・ルートとも呼ばれています。

このパラメーターを使用すると、-Z スイッチを使用できるようになります。 IBM® i 上のディレクトリー・サーバーでは、-Z を使用して -K または -N を使用しない場合、ディレクトリー・サービス・クライアント・アプリケーション ID に関連した証明が使用されます。

-l timelimit

最大 timelimit 秒が経過するまで、検索が完了するのを待ちます。

-L

検索結果を LDIF 形式で表示します。このオプションを指定すると -B オプションもオンになり、 -F オプションは無視されます。

-m mechanism

mechanism を使用して、サーバーへのバインドに使用する SASL メカニズムを指定します。 ldap_sasl_bind_s() API が使用されます。-V 2 をセットすると、 -m パラメーターは無視されます。-m を指定しない場合、単純認証が使用されます。以下が有効はメカニズムです。

CRAM-MD5 - サーバーに送信されるパスワードを保護する。
EXTERNAL - SSL 認証を使用する。-Z が必要。
GSSAPI - ユーザーの Kerberos 信任状を使用する。
DIGEST-MD5 - クライアントは username 値をサーバーに送信する必要があります。-U が必要。権限 ID を指定するには、-D パラメーター (通常、バインド DN) が使用されます。これは DN とすることもできるし、あるいは「u:」または「dn:」で始まる authzId ストリングとすることもできます。
OS400_PRFTKN - システム・プロジェクト・バックエンド中のユーザーの DN を使用して、ローカル LDAP サーバーに対して現行 IBM i ユーザーとして認証します。-D (バインド DN) および -w (パスワード) パラメーターは指定しないでください。

-M

参照オブジェクトを普通の項目として管理します。

-n

実行される処理が表示されますが、実際の項目変更は行いません。-v と併用してデバッグに使用すると便利です。

-N certificatename

キー・データベース・ファイル内のクライアント証明書に関連したラベルを指定します。

注: LDAP サーバーがサーバー認証だけを実行するように構成されている場合は、クライアント証明書は不要です。 LDAP サーバーがクライアントおよびサーバーの認証を実行するように構成されている場合は、クライアント証明書が必要です。デフォルトの証明書/秘密鍵のペアがデフォルトとして指定されている場合は、certificatename は不要です。同様に、指定したキー・データベース・ファイル内に証明書/秘密鍵のペアが 1 つある場合も、 certificatename は不要です。-Z と -K をどちらも指定していない場合は、このパラメーターは無視されます。

IBM i 上のディレクトリー・サーバーでは、-Z を使用して -K または -N を使用しない場合、ディレクトリー・サービス・クライアント・アプリケーション ID に関連した証明が使用されます。

-o attr_type

検索結果のソート基準として使用する属性を指定するには、 -o (order) パラメーターを使用します。複数の -o パラメーターを使用してさらにソート順序を定義できます。以下の例では、検索結果はまず姓 (sn) で、それから名前でソートされ、名前 (givenname) は接頭部の負符号 (-) で指定されているように逆 (降順) の順序でソートされます。

-o sn -o -givenname

したがって、ソート・パラメーターの構文は以下のようになります。

 	[-]<attribute name>[:<matching rule OID>]

ここで

attribute name はそれでソートする属性の名前です。
matching rule OID はソートに使用するマッチング規則のオプショナル OID です。マッチング規則の OID 属性は、ディレクトリー・サーバーではサポートされていませんが、他の LDAP サーバーはこの属性をサポートする場合があります。
負符号 (-) は、結果が逆順にソートされることを示します。
重大性は、常に重大です。

ldapsearch 操作はデフォルトでは、戻された結果をソートしません。

-O maxhops

参照を追跡する際にクライアント・ライブラリーが取るホップの最大数を設定するよう maxhops を指定します。デフォルトのホップ・カウントは 10 です。

-p ldapport

LDAP サーバーが listen する代替 TCP ポートを指定します。デフォルトの LDAP ポートは 389 です。この値の指定がなく、-Z が指定されている場合は、デフォルトの LDAP SSL ポート 636 が使用されます。

-P keyfilepw

キー・データベースのパスワードを指定します。このパスワードは、キー・データベース・ファイル内の暗号化された情報 (1 つ以上の秘密鍵を含む場合がある) にアクセスするために必要です。パスワードの stash ファイルがキー・データベース・ファイルに関連付けられている場合、パスワードはそのパスワード stash ファイルから取得されるので、-P パラメーターは必要ありません。-Z と -K をどちらも指定していない場合は、このパラメーターは無視されます。

-q pagesize

検索結果のページングを指定するには、2 つのパラメーター: -q (照会ページ・サイズ)、および -T (検索の間の時間 (秒)) を使用できます。以下の例では、検索結果はその検索に対するすべての結果が戻されるまで、 15 秒ごとに一度に 1 ページ (25 項目) を戻します。ldapsearch クライアントはそれぞれの結果のページングの要求ごとに、検索操作の期間を通してすべての接続の継続を扱います。

これらのパラメーターはクライアントに限定リソースがあるとき、またクライアントが低帯域幅の接続で CAN されているときに便利です。一般に、これにより、検索要求からデータが戻される速度をコントロールすることができます。すべての結果を一度に受信する代わりに、(ページごとに) 幾つかの項目で受信することができます。さらに、それぞれのページ要求間の遅延の継続時間を制御してクライアントに結果をプロセスする時間を与えることができます。

  -q 25  -T 15

-v (冗長) パラメーターを指定した場合、たとえば、30 total entries have been returned. (合計 30 の項目が戻されました。) のように、 ldapsearch は、サーバーから戻されるそれぞれの項目のページごとに、それまで幾つの項目が戻されたかをリストします。

複数の -q パラメーターが使用可能になるので、単一の検索操作中を通して、異なるページ・サイズを指定することができます。以下の例では、最初のページは 15 項目、2 番目のページは 20 項目、そして 3 番目のパラメーターがページングされた結果/検索操作を終了します。

-q 15 -q 20 -q 0

以下の例では、最初のページは 15 項目、残りのすべてのページは 20 項目で、最後の指定 -q 値で検索操作が完了するまで続きます。

-q 15 -q 20

ldapsearch 操作は、デフォルトでは、単一の要求ですべての項目を戻します。デフォルトの ldapsearch 操作では、ページングは行われません。

-R

参照を自動的に行わないことを指定します。

-s scope

検索の範囲を指定します。 scope は、base、one、または sub のいずれかです。これは、それぞれ、基本オブジェクト検索、1 レベル検索、サブツリー検索を意味します。デフォルトは sub です。

-t

検索した値を一組の一時ファイルに書き込みます。これは、jpegPhoto や audio などの非 ASCII 値を扱うときに便利です。

-T seconds

検索の間隔 (秒)。-T オプションは -q オプションが指定されている場合にのみサポートされます。

–U username

ユーザー名を指定します。-m DIGEST-MD5 には必要ですが、その他のメカニズムでは無視されます。

-v

冗長モードを使用して、多くの診断結果を標準出力に書き込みます。

-V

LDAP サーバーにバインドするときに、ldapmodify によって使用されるよう、LDAP バージョンを指定します。デフォルトの設定では、LDAP V3 接続が確立されます。明示的に LDAP V3 を選択する場合は「-V 3」と指定し、 LDAP V2 アプリケーションとして実行する場合は「-V 2」と指定します。 ldapmodify などのアプリケーションでは、ldap_open の代わりに ldap_init が使用され、LDAP V3 が優先プロトコルとして選択されます。

-w passwd | ?

passwd を認証用のパスワードとして使用します。 ? を使用してパスワード・プロンプトを生成します。

-x

FIPS モード処理を使用します (SSL/TLS のみ)。

-y proxydn

プロキシー権限操作のプロキシー ID を設定します。

–Y

セキュア LDAP 接続 (TLS) を使用します。

-z sizelimit

検索結果の項目数を最大 sizelimit に制限します。これにより、検索操作で戻される項目数の上限を設定できます。

-Z

セキュア SSL 接続を使用して LDAP サーバーと通信します。 IBM i 上のディレクトリー・サーバーでは、-Z を使用して -K または -N を使用しない場合、ディレクトリー・サービス・クライアント・アプリケーション ID に関連した証明が使用されます。

-9 p

ページングの重大性を false に設定します。検索はページングなしで処理されます。

-9 s

ソートの重大性を false に設定します。検索はソートなしで処理されます。

フィルター

検索に適用するフィルターのストリング表記を指定します。簡易フィルターは、 attributetype=attributevalue として指定できます。より複雑なフィルターは、以下のバッカス正規形式 (BNF) に従って接頭表記法を使用して指定できます。

<filter> ::='('<filtercomp>')'
<filtercomp> ::= <and>|<or>|<not>|<simple>
<and> ::= '&' <filterlist>
<or> ::= '|' <filterlist>
<not> ::= '!' <filter>
<filterlist> ::= <filter>|<filter><filterlist>
<simple> ::= <attributetype><filtertype>
<attributevalue>
<filtertype> ::= '='|'~='|'<='|'>='

'~=' 構成は、近似マッチングの指定のために使用されています。 <attributetype> および <attributevalue> の表記については、RFC 2252, LDAP V3 Attribute Syntax Definitions に説明されています。さらに、filtertype が '=' の場合、<attributevalue> は、属性存在テストを行うときは単一の * でかまいませんが、サブストリング・マッチングを行うときには、テキストとアスタリスク (*) がその中に散在していてもかまいません。

たとえば、フィルター "mail=*" はメール属性のある項目を検出します。フィルター "mail=*@student.of.life.edu" では、指定されたストリングで終わるメール属性のある項目を検出します。フィルターに括弧を書き込むには、エスケープ文字として、円記号 (¥) 文字を入れてください。

注: Bob とアスタリスク ( * ) の間にスペースがある "cn=Bob *" などのフィルターでは、 IBM Directory 中の "Bob Carter" はマッチングしますが、"Bobby Carter" はマッチングしません。 "Bob" とワイルドカード文字 ( * ) の間のスペースは、フィルターを使用した検索の結果に影響します。

許容されるフィルターに関する完全な説明は、"RFC 2254, A String Representation of LDAP Search Filters" を参照してください。

出力フォーマット

1 つ以上の項目が検出された場合、各項目は次の形式で標準出力に書き込まれます。

      識別名 (DN)

      attributename=value

      attributename=value

      attributename=value

     …

複数の項目は、それぞれ 1 つのブランク行で区切られます。分離文字の指定に -F オプションが使用されている場合、ブランク行が '=' 文字の代わりに使用されます。-t オプションを指定した場合は、実際の値の代わりに一時ファイルの名前が使用されます。 -A オプションが与えられている場合には、 "attributename" の部分のみが書き込まれます。

例

次のコマンドを使用します。

  ldapsearch "cn=john doe" cn telephoneNumber

は、"john doe" という commonName を持つ項目を見つけるために、サブツリー検索を実行します (デフォルトの検索ベースを使用)。 commonName および telephoneNumber の値が検索され、標準出力にプリントされます。2 つの項目が検出された場合、出力は次のようになります。

    cn=John E Doe, ou="College of Literature, Science, and the Arts",
  ou=Students, ou=People, o=University of Higher Learning, c=US

    cn=John Doe

    cn=John Edward Doe

    cn=John E Doe 1

    cn=John E Doe

    telephoneNumber=+1 313 555-5432



    cn=John B Doe, ou=Information Technology Division,
  ou=Faculty and Staff, ou=People, o=University of Higher Learning, c=US

    cn=John Doe

    cn=John B Doe 1

    cn=John B Doe

    telephoneNumber=+1 313 555-1111

次のコマンド:

ldapsearch -t "uid=jed" jpegPhoto audio

は、"jed" というユーザー ID を持つ項目を見つけるために、デフォルトの検索ベースを使用してサブツリー検索を実行します。 jpegPhoto と audio の値が取り出されて、一時ファイルに書き込まれます。要求された各属性について 1 つずつ値を持つ項目が 1 つ見つかった場合、出力は次のようになります。

 cn=John E Doe, ou=Information Technology Division,

    ou=Faculty and Staff,

    ou=People, o=University of Higher Learning, c=US

    audio=/tmp/ldapsearch-audio-a19924

    jpegPhoto=/tmp/ldapsearch-jpegPhoto-a19924

次のコマンド:

ldapsearch -L -s one -b "c=US" "o=university*" o description

は、university で始まる organizationName を持つすべての組織を検出する 1 レベル検索を行います。検索結果は LDIF 形式 (『LDAP データ交換形式』を参照してください。) で表示されます。organizationName と記述属性値が検索され、標準出力にプリントされ、以下のような出力になります。

 dn: o=University of Alaska Fairbanks, c=US

    o: University of Alaska Fairbanks

    description: Preparing Alaska for a brave new tomorrow

    description: leaf node only



    dn: o=University of Colorado at Boulder, c=US

    o: University of Colorado at Boulder

    description: No personnel information

    description: Institution of education and research



    dn: o=University of Colorado at Denver, c=US

    o: University of Colorado at Denver

    o: UCD

    o: CU/Denver

    o: CU-Denver

    description: Institute for Higher Learning and Research



    dn: o=University of Florida, c=US

    o: University of Florida

    o: UFl

    description: Shaper of young minds



 …

次のコマンド:

ldapsearch -b "c=US" -o ibm-slapdDN "objectclass=person" ibm-slapdDN

は、c=US レベルですべての人々を検出するサブツリー・レベルの検索を行います。この特別な属性 (ibm-slapdDN) は、ソートする検索のために使用すると、検索結果を識別名 (DN) のストリング表記でソートします。出力は次のようになります。

cn=Al Edwards,ou=Widget Division,ou=Austin,o=IBM,c=US

cn=Al Garcia,ou=Home Entertainment,ou=Austin,o=IBM,c=US

cn=Amy Nguyen,ou=In Flight Systems,ou=Austin,o=IBM,c=US

cn=Arthur Edwards,ou=Widget Division,ou=Austin,o=IBM,c=US

cn=Becky Garcia,ou=In Flight Systems,ou=Austin,o=IBM,c=US

cn=Ben Catu,ou=In Flight Systems,ou=Austin,o=IBM,c=US

cn=Ben Garcia Jr,ou=Home Entertainment,ou=Austin,o=IBM,c=US

cn=Bill Keller Jr.,ou=In Flight Systems,ou=Austin,o=IBM,c=US

cn=Bob Campbell,ou=In Flight Systems,ou=Austin,o=IBM,c=US

次のコマンド:

ldapsearch –h hostname –o sn –b "o=ibm,c=us" "title=engineer"

は、IBM 従業員ディレクトリーにある役職が "engineer" であるすべての項目を、結果を姓でソートして戻します。

次のコマンド:

ldapsearch –h hostname –o -sn –o cn –b "o=ibm,c=us" "title=engineer"

は、IBM 従業員ディレクトリーにある役職が "engineer" であるすべての項目を、結果を姓で (降順) し、それから通称で (昇順) ソートして戻します。

次のコマンド:

ldapsearch –h hostname –q 5 –T 3 –b o=ibm,c=us "title=engineer"

は、IBM 従業員ディレクトリーにある役職が "engineer" であるすべての項目を、ページングごとに 5 項目、ページ間 3 秒の遅延で戻します。

次の例は、参照オブジェクトが含まれている場合の検索を示しています。 Directory Server LDAP ディレクトリーは、次のものだけを格納している限り、参照オブジェクトを格納することができます。

識別名 (dn)
objectClass (objectClass)
参照 (ref) 属性

'System_A' には以下の参照項目が置かれていると想定します。

dn: cn=Barb Jensen, ou=Rochester, o=Big Company, c=US
ref: ldap://System_B:389/cn=Barb Jensen,
   ou=Rochester, o=Big Company, c=US
  objectclass: referral

この項目に関連したすべての属性は、'System_B' にあります。

System_B には項目が 1 つ含まれています。

dn: cn=Barb Jensen, ou=Rochester, o=Big Company, c=US
cn: Barb Jensen
objectclass: organizationalPerson
sn: Jensen
telephonenumber: (800) 555 1212

クライアントが 'System_A' への要求を発行した場合、 System_A 上の LDAP サーバーは、次の URL でクライアントに応答します。

ldap://System_B:389/cn=Barb Jensen,
  ou=Rochester, o=Big Company, c=US

クライアントはこの情報を使用して、System_B に対する要求を発行します。 System_A の項目に、dn、objectclass、および ref 以外の属性も含まれている場合は、サーバーはそれらの属性を無視します (-R フラグを指定して追跡参照をしないという指示をしない場合)。

クライアントは、サーバーから参照応答を受け取ると、今度は戻された URL の参照先であるサーバーに対して、再度要求を発行します。新規の要求には、元の要求と同じ有効範囲があります。この検索の結果は、検索の有効範囲 (-b) に指定する値によって異なります。

-s base を次のように指定したとします。

ldapsearch -h System_A -b 'ou=Rochester, o=Big Company, c=US'
          -s base 'sn=Jensen'

検索の結果、System_A と System_B の両方の 'ou=Rochester, o=Big Company, c=US' の中にあって、 'sn=Jensen' であるすべての項目のすべての属性が戻されます。

-s sub を次のように指定したとします。

ldapsearch -s sub "cn=John"

サーバーはすべての接尾部を検索して、「cn=John」があるすべての項目を戻します。これは、ヌル・ベースのサブツリー検索と呼ばれます。検索ベースとして、異なる接尾部ごとに複数の検索を実行するのではなく、ディレクトリー全体が 1 つの検索操作で検索されます。このタイプの検索操作では、ディレクトリー全体 (すべての接尾部) が検索されるために、時間が長くなり、システム・リソースの消費も多くなります。

注: ヌル・ベースのサブツリー検索では、スキーマ情報、変更ログ情報は戻されず、またシステム・プロジェクト・バックエンドからも何も戻されません。

-s sub を次のように指定したとします。

ldapsearch -h System_A -b 'ou=Rochester, o=Big Company, c=US'
      -s sub 'sn=Jensen'

検索の結果、System_A と System_B の両方の 'ou=Rochester, o=Big Company, c=US' の中またはその下位にあって、 'sn=Jensen' であるすべての項目のすべての属性が戻されます。

-s one を次のように指定したとします。

ldapsearch -h System_A -b 'ou=Rochester, o=Big Company, c=US'
      -s one 'sn=Jensen'

検索の結果、どちらのシステムについても項目は戻されません。代わりに、サーバーは参照 URL をクライアントに戻します。

ldap://System_B:389/cn=Barb Jensen,
    ou=Rochester, o=Big Company, c=US

クライアントは次の要求を実行依頼します。

  ldapsearch -h System_B -b 'ou=Rochester, o=Big Company, c=US'
      -s one 'sn=Jensen'

これも結果を出しませんが、それは項目

dn: cn=Barb Jensen, ou=Rochester, o=Big Company, c=US

resides at

  ou=Rochester, o=Big Company, c=US

-s one による検索では、以下のすぐ下のレベルでの項目が検出されます。

  ou=Rochester, o=Big Company, c=US

診断

エラーがない場合は、戻り状況は 0 です。エラーがあった場合は、ゼロ以外の戻り状況が発生し、標準エラーに診断メッセージが書き込まれます。