Utilisation des outils LDAP sous Linux, Solaris ou AIX

eDirectory inclut les outils LDAP suivants, stockés dans /usr/ldaptools/bin excepté ice qui est stocké dans /usr/bin, afin de vous aider à gérer le serveur de répertoires LDAP.

Outil Description

ice

Importe les entrées d'un fichier vers un annuaire LDAP, modifie les entrées d'un fichier dans un annuaire, exporte les entrées vers un fichier et ajoute les définitions de classes et d'attributs d'un fichier.

ldapadd

Ajoute de nouvelles entrées à un annuaire LDAP.

ldapdelete

Supprime les entrées d'un serveur d'annuaire LDAP. L'outil ldapdelete ouvre une connexion vers un serveur LDAP, crée une liaison et supprime une ou plusieurs entrées.

ldapmodify

Ouvre une connexion vers un serveur LDAP, crée une liaison et modifie ou ajoute des entrées.

ldapmodrdn

Modifie le nom distinctif relatif (RDN) d'entrées d'un serveur d'annuaire LDAP. Ouvre une connexion vers un serveur LDAP, crée une liaison et modifie le RDN des entrées.

ldapsearch

Recherche des entrées dans un serveur d'annuaire LDAP. Ouvre une connexion vers un serveur LDAP, crée une liaison et effectue une recherche à l'aide du filtre spécifié. Ce filtre doit correspondre à la représentation de type chaîne définie pour les filtres LDAP dans le document RFC 2254.

ndsindex

Crée, liste, suspend, reprend ou supprime les index.

Pour plus d'informations, reportez-vous à Outils LDAP dans le LDAP Libraries for C Guide (Guide des bibliothèques LDAP pour C).

Pour effectuer des opérations sécurisées avec les outils LDAP, reportez-vous à Opérations sécurisées eDirectory sur les systèmes Linux et Solaris et insérez le fichier DER dans toutes les opérations LDAP à ligne de commande qui établissent des connexions LDAP sécurisées vers eDirectory.


Outils LDAP

Les utilitaires LDAP permettent de supprimer, modifier et ajouter des entrées, d'étendre le schéma, de modifier les noms distinctifs relatifs, de déplacer des entrées dans de nouveaux conteneurs, de créer des index de recherche et d'effectuer des recherches.


ldapadd

L'utilitaire ldapadd ajoute de nouvelles entrées. Sa syntaxe est la suivante :

ldapadd [-c] [-C] [-l] [-M] [-P] [-r] [-n] [-v] [-F] [-l limit] [-M[M]] [-d  debuglevel] [-e key filename] [-D  binddn] [[-W ]| [-w passwd]] [-h  ldaphost] [-p ldapport] [-P version] [-Z[Z]] [-f file]

REMARQUE :  Sur les serveurs NetWare, cet utilitaire est appelé ladd.

Si l'option -f est spécifiée, ldapadd lit les modifications dans un fichier. Si l'option -f n'est pas spécifiée, ldapadd lit les modifications dans stdin.

SUGGESTION :  Le résultat des utilitaires ldap est envoyé à stdout. Si vous quittez l'utilitaire avant de pouvoir consulter les résultats, redirigez ces derniers vers un fichier, par exemple ldapadd [options] > out.txt.


Tableau . Options ldapadd

Option Description

-a

Ajoute de nouvelles entrées. L'opération par défaut de ldapmodify est de modifier des entrées existantes. Si vous utilisez l'outil ldapadd, cet indicateur est toujours défini.

-r

Remplace les valeurs par défaut.

-c

Mode de fonctionnement continu. Des erreurs sont signalées, mais ldapmodify continue les modifications. Par défaut, le programme se ferme dès qu'une erreur est signalée.

-f file

Lit les informations de modification d'entrée dans le fichier LDIF et non dans l'entrée standard. La longueur maximale des enregistrements est de 4 096 lignes.

-F

Impose l'application de tous les changements, quel que soit le contenu des lignes d'entrée commençant par replica: (réplique). (Par défaut, les lignes replica: sont comparées à l'hôte et au port du serveur LDAP utilisés afin de savoir si un enregistrement replog doit être appliqué.)

Certaines options sont communes à tous les outils ldap. Elles sont présentées dans le tableau suivant :


Tableau . Options communes à tous les outils ldap

Option Description

-C

Autorise le suivi des renvois. (liaison anonyme)

-d debuglevel

Définit le niveau de débogage LDAP sur debuglevel. Pour que cette fonction ait un effet quelconque, l'outil ldapmodify doit être compilé avec une valeur définie pour LDAP_DEBUG.

-D binddn

Utilise binddn pour établir une liaison à l'annuaire LDAP. binddn doit être un nom distinctif représenté par une chaîne, comme spécifié dans le document RFC 1779.

-e key filename

Stocke le nom de fichier du certificat de la liaison SSL.

-f file

Lit une série de lignes du fichier en effectuant une recherche LDAP par ligne. Dans ce cas, le filtre spécifié sur la ligne de commande sert de modèle, la première occurrence de %s étant remplacée par une ligne du fichier. Si le fichier se résume à un tiret (-), les lignes sont lues depuis l'entrée standard.

-h ldaphost

Indique un autre hôte sur lequel le serveur LDAP est exécuté.

-l limit

Indique le timeout de connexion en secondes.

-M

Active la commande Gérer DSA IT. (non critique)

-MM

Active la commande Gérer DSA IT. (critique)

-n

Indique les conséquences de l'opération sans modifier réellement les entrées. Utile pour le débogage en association avec -v.

-p ldapport

Indique un autre port TCP écouté par le serveur LDAP.

-P version

Indique la version de LDAP (2 ou 3).

-v

Utilise le mode verbeux avec un grand nombre de diagnostics écrits dans la sortie standard.

-w passwd

Utilise passwd comme mot de passe pour l'authentification simple.

-W

Invite à effectuer une authentification simple. Cette option est utilisée au lieu d'indiquer le mot de passe sur la ligne de commande.

-Z

Démarre TLS avant l'établissement d'une liaison pour effectuer l'opération. Si une erreur se produit durant le démarrage de TLS, elle est ignorée et l'opération continue. Il est recommandé d'utiliser plutôt l'option -ZZ qui permet d'annuler l'opération en cas d'erreur.

Si un port est spécifié avec cette option, il doit accepter les connexions en texte clair.

Pour vérifier l'identité du serveur, utilisez cette option en association avec l'option -e afin de spécifier un fichier de certificat de serveur. Cette opération valide le certificat de racine approuvée du serveur lors du démarrage de TLS. Si l'option -e n'est pas spécifiée, n'importe quel certificat de serveur est accepté.

-ZZ

Démarre TLS avant l'établissement d'une liaison pour effectuer l'opération. Si une erreur se produit durant le démarrage de TLS, l'opération est annulée.

Si un port est spécifié avec cette option, il doit accepter les connexions en texte clair.

Pour vérifier l'identité du serveur, utilisez cette option en association avec l'option -e afin de spécifier un fichier de certificat de serveur. Cette opération valide le certificat de racine approuvée du serveur lors du démarrage de TLS. Si l'option -e n'est pas spécifiée, n'importe quel certificat de serveur est accepté.

Exemples

Supposons que le fichier /tmp/entrymods existe et contienne les éléments suivants :

dn: cn=Modify Me, o=University of Michigan, c=US

 changetype: modify

 replace: mail

 mail: modme@terminator.rs.itd.umich.edu

 -

 add: title

 title: Manager

 -

 add: jpegPhoto

 jpegPhoto: /tmp/modme.jpeg

 -

 delete: description

-

Dans ce cas, la commande ldapmodify -b -r -f /tmp/entrymods remplace le contenu de l'attribut de messagerie de l'entrée Modify Me par la valeur modme@terminator.rs.itd.umich.edu, ajoute le titre Manager, ainsi que le contenu du fichier /tmp/modme.jpeg en tant que jpegPhoto, et retire complètement l'attribut de description.

Vous pouvez apporter ces mêmes modifications en utilisant l'ancien format d'entrée ldapmodify :

 cn=Modify Me, o=University of Michigan, c=US

 mail=modme@terminator.rs.itd.umich.edu

 +title=Manager

 +jpegPhoto=/tmp/modme.jpeg

 -description

 et la commande :

 ldapmodify -b -r -f /tmp/entrymods

 Supposons que le fichier /tmp/newentry existe et contienne les éléments suivants :

dn: cn=Barbara Jensen, o=University of Michigan, c=US

 objectClass: person

 cn: Barbara Jensen

 cn: B Jensen

 sn: Jensen

 title: Manager

 mail: bjensen@terminator.rs.itd.umich.edu

 uid: bjensen

Dans ce cas, la commande ldapadd -f /tmp/entrymods ajoute une nouvelle entrée pour B Jensen, à l'aide des valeurs du fichier /tmp/newentry.

Supposons que le fichier /tmp/newentry existe et contienne les éléments suivants :

dn: cn=Barbara Jensen, o=University of Michigan, c=US

 changetype: delete

Dans ce cas, la commande ldapmodify -f /tmp/entrymods retire l'entrée B Jensen.


ldapdelete

L'utilitaire ldapdelete supprime l'entrée spécifiée. Il ouvre une connexion vers un serveur LDAP, crée une liaison et supprime l'entrée. Sa syntaxe est la suivante :

ldapdelete [-n] [-v]  [-c]  [-r] [-l] [-C] [-M] [-d debuglevel] [-e key filename] [-f file] [-D binddn] [[-W]| [-w passwd]] [-h ldaphost] [-p ldapport] [-Z[Z]] [dn]...

REMARQUE :  Sur les serveurs NetWare, cet utilitaire est appelé ldelete.

Le paramètre dn est la liste des noms distinctifs des entrées à supprimer.

Il interagit avec l'option -f des façons suivantes :

SUGGESTION :  Le résultat des utilitaires ldap est envoyé à stdout. Si vous quittez l'utilitaire avant de pouvoir consulter les résultats, redirigez ces derniers vers un fichier, par exemple ldapdelete [options] > out.txt.


Tableau . Options ldapdelete

Option Description

-c

Mode de fonctionnement continu. Des erreurs sont signalées, mais ldapdelete continue les suppressions. Par défaut, le programme se ferme dès qu'une erreur est signalée.

-f file

Lit une série de lignes du fichier en effectuant une recherche LDAP par ligne. Dans ce cas, le filtre spécifié sur la ligne de commande sert de modèle, la première occurrence de %s étant remplacée par une ligne du fichier.

-r

Effectue une suppression récursive.

REMARQUE :  Pour plus d'informations sur les options communes, reportez-vous à Tableau , Options communes à tous les outils ldap .


Exemples

La commande ldapdelete "cn=Delete Me, o=University of Michigan, c=US" tente de supprimer l'entrée dont le nom commun est Delete Me directement sous l'entrée organisationnelle University of Michigan. Il sera probablement nécessaire de fournir un dn de liaison (binddn) et un mot de passe (passwd) pour autoriser la suppression (reportez-vous aux options -D et -w).


ldapmodify

L'utilitaire ldapmodify modifie les attributs d'une entrée ou en ajoute de nouvelles. Sa syntaxe est la suivante :

ldapmodify [-a] [-c] [-C] [-M] [-P] [-r] [-n] [-v] [-F] [-l limit] [-M[M]] [-d debuglevel] [-e key filename] [-D binddn] [[-W]|[-w passwd]] [-h ldaphost] [-p ldap-port] [-P version] [-Z[Z]] [-f file]

REMARQUE :  Sur les serveurs NetWare, cet utilitaire est appelé lmodify.

Si l'option -f est spécifiée, ldapmodify lit les modifications dans un fichier. Si l'option -f n'est pas spécifiée, ldapmodify lit les modifications dans stdin.

SUGGESTION :  Le résultat des utilitaires ldap est envoyé à stdout. Si vous quittez l'utilitaire avant de pouvoir consulter les résultats, redirigez ces derniers vers un fichier, par exemple ldapmodify [options] > out.txt.


Tableau . Options ldapmodify

Option Description

-a

Ajoute de nouvelles entrées. L'opération par défaut de ldapmodify est de modifier des entrées existantes. Si vous utilisez l'outil ldapadd, cet indicateur est toujours défini.

-r

Remplace les valeurs par défaut.

-c

Mode de fonctionnement continu. Des erreurs sont signalées, mais ldapmodify continue les modifications. Par défaut, le programme se ferme dès qu'une erreur est signalée.

-f file

Lit les informations de modification d'entrée dans le fichier LDIF et non dans l'entrée standard. La longueur maximale des enregistrements est de 4 096 lignes.

-F

Impose l'application de tous les changements, quel que soit le contenu des lignes d'entrée commençant par replica: (réplique). (Par défaut, les lignes replica: sont comparées à l'hôte et au port du serveur LDAP utilisés afin de savoir si un enregistrement replog doit être appliqué.)

REMARQUE :  Pour plus d'informations sur les options communes, reportez-vous à Tableau , Options communes à tous les outils ldap .


ldapmodrdn

Le paramètre ldapmodrdn modifie le nom distinctif relatif d'une entrée. Il peut également déplacer l'entrée vers un nouveau conteneur. Sa syntaxe est la suivante :

ldapmodrdn [-r] [-n] [-v] [-c] [-C] [-l] [-M] [-s newsuperior] [-d debuglevel] [-e key filename] [-D binddn] [[-W]|[-w  passwd]]  [-h ldaphost] [-p ldapport] [-Z[Z]] [-f file] [dn newrdn]

REMARQUE :  Sur les serveurs NetWare, cet utilitaire est appelé lmodrdn dn <newrdn>).

SUGGESTION :  Le résultat des utilitaires ldap est envoyé à stdout. Si vous quittez l'utilitaire avant de pouvoir consulter les résultats, redirigez ces derniers vers un fichier, par exemple ldapmodrdn [options] > out.txt.


Tableau . Options ldapmodrdn

Option Description

-c

Mode de fonctionnement continu. Des erreurs sont signalées, mais ldapmodify continue les modifications. Par défaut, le programme se ferme dès qu'une erreur est signalée.

-f file

Lit les informations de modification d'entrée dans le fichier et non dans l'entrée standard ou la ligne de commande. Veillez à ce qu'il n'y ait pas de ligne vide entre l'ancien et le nouveau RDN, sinon l'option -f échoue.

-r

Retire les anciennes valeurs RDN de l'entrée. Par défaut, les anciennes valeurs sont conservées.

-s newsuperior

Spécifie le nom distinctif du conteneur dans lequel l'entrée est déplacée.

REMARQUE :  Pour plus d'informations sur les options communes, reportez-vous à Tableau , Options communes à tous les outils ldap .


Exemples

Supposons que le fichier /tmp/entrymods existe et contienne les éléments suivants :

cn=Modify Me, o=University of Michigan, c=US

cn=The New Me


ldapsearch

L'utilitaire ldapsearch recherche des attributs et classes d'objet spécifiés dans le répertoire. Sa syntaxe est la suivante :

ldapsearch [-n] [-u] [-v] [-t] [-A] [-T] [-C] [-V] [-M] [-P] [-L] [-d debuglevel] [-e key filename] [-f file] [-D binddn] [[-W]| [-w bindpasswd]] [-h ldaphost] [-p ldapport] [-b searchbase] [-s scope] [-a deref] [-l time limit] [-z size limit] [-Z[Z]] filter [attrs....]

REMARQUE :  Sur les serveurs NetWare, cet utilitaire est appelé lsearch.

L'outil ldapsearch établit une connexion à un serveur LDAP, effectue la liaison et lance une recherche à l'aide du filtre. Ce filtre doit correspondre à la représentation de type chaîne définie pour les filtres LDAP dans le document RFC 2254.

Si ldapsearch trouve des entrées, les attributs définis par attrs sont récupérés et les entrées et leurs valeurs sont affichées dans la sortie standard. Si aucun attribut n'est répertorié, tous les attributs sont renvoyés.

SUGGESTION :  Le résultat des utilitaires ldap est envoyé à stdout. Si vous quittez l'utilitaire avant de pouvoir consulter les résultats, redirigez ces derniers vers un fichier, par exemple ldapsearch [options] filter [liste Attribut] > out.txt.


Tableau . Options ldapsearch

Option Description

-a deref

Spécifie la manière de gérer la suppression de références à un alias. Elle utilise les valeurs suivantes :

  • Jamais : les références des alias ne sont jamais supprimées lors de la localisation de l'objet de base ou de la recherche.
  • Toujours : les références des alias sont toujours supprimées lors de la localisation de l'objet de base et de la recherche.
  • Rechercher : les références des alias sont supprimées lors de la recherche de subordonnés de l'objet de base, mais pas lors de la localisation de l'objet de base.
  • Trouver : les références des alias sont supprimées lors de la localisation de l'objet de base, mais pas lors de la recherche de ses subordonnés.

-A

Récupère les attributs uniquement (pas les valeurs). Cette fonction est utile lorsque vous voulez savoir si un attribut figure dans une entrée et que les valeurs elles-mêmes ne vous intéressent pas.

-CC

Autorise le suivi des renvois. (liaison authentifiée avec les mêmes DN lié et mot de passe)

-b searchbase

Utilise la base de recherche comme point de départ de la recherche.

-L

Affiche les entrées au format LDIF.

-LL

Affiche les entrées au format LDIF sans commentaire.

-LLL

Affiche les entrées au format LDIF sans commentaire ni version.

-s scope

Définit l'étendue de la recherche. Cette étendue peut être : base, one (premier niveau) ou sub (sous-arborescences) pour la définition d'une recherche portant sur un objet de base, sur un niveau ou sur une sous-arborescence. La valeur par défaut est sub (sous-arborescences).

-S attribute

Trie les entrées renvoyées en fonction de l'attribut. Par défaut, les entrées renvoyées ne sont pas triées. Si l'attribut est une chaîne vide (""), les entrées sont triées sur la base des composants de leur nom distinctif. Pour plus d'informations, reportez-vous à ldap_sort. Notez que ldapsearch imprime normalement les entrées au fur et à mesure qu'il les reçoit. Lorsqu'elle est activée, l'option -S annule cette action. Toutes les entrées sont alors récupérées, triées, puis affichées.

-t

Écrit les valeurs binaires récupérées dans un ensemble de fichiers temporaires. Cette fonction est utile pour le traitement des valeurs non-ASCII, telles que le format jpegPhoto ou les formats audio.

-tt

Écrit toutes les valeurs dans des fichiers temporaires.

-T path

Écrit les fichiers dans le répertoire spécifié par le chemin d'accès (par défaut : "/tmp").

-u

Insère la forme conviviale du nom distinctif (DN) dans la sortie.

-V

Préfixe URL des fichiers.

-V prefix

Spécifie le préfixe URL des fichiers (par défaut : "file://tmp/").

-z sizelimit

Accorde à la recherche le délai en secondes défini par le paramètre « sizelimit ».

REMARQUE :  Pour plus d'informations sur les options communes, reportez-vous à Tableau , Options communes à tous les outils ldap .


Exemples

La commande suivante :

ldapsearch "cn=mark smith" cn telephoneNumber

permet de rechercher dans une sous-arborescence (à l'aide de la base de recherche par défaut) des entrées dont la valeur commonName est mark smith. Les valeurs commonName et telephoneNumber sont récupérées et affichées dans une sortie standard. Si deux entrées sont détectées, cette sortie peut se présenter comme suit :

cn=Mark D Smith, ou="College of Literature, Science, and the Arts", ou=Students, ou=People, o=University of Michigan, c=US

cn=Mark Smith

cn=Mark David Smith

cn=Mark D Smith 1

cn=Mark D Smith

telephoneNumber=+1 313 930-9489

cn=Mark C Smith, ou=Information Technology Division, ou=Faculty and Staff, ou=People,o=University of Michigan, c=US

cn=Mark Smith

cn=Mark C Smith 1

cn=Mark C Smith

telephoneNumber=+1 313 764-2277

La commande :

ldapsearch -u -t "uid=mcs" jpegPhoto audio

recherche dans une sous-arborescence (en utilisant la base de recherche par défaut) les entrées dont l'ID utilisateur est mcs. La forme conviviale du nom distinctif de l'entrée s'affiche dans la sortie après la ligne comportant le nom distinctif lui-même et les valeurs jpegPhoto et audio sont récupérées et écrites dans des fichiers temporaires. Si la recherche permet d'obtenir une entrée avec une valeur pour chacun des attributs demandés, la sortie peut se présenter comme suit :

cn=Mark C Smith, ou=Information Technology Division, ou=Faculty and Staff, ou=People, o=University of Michigan, c=US

Mark C Smith, Information Technology Division, Faculty and Staff, People, University of Michigan, US

audio=/tmp/ldapsearch-audio-a19924

jpegPhoto=/tmp/ldapsearch-jpegPhoto-a19924

La commande suivante effectue une recherche sur un niveau sur le niveau c=US pour trouver toutes les organisations dont la valeur du paramètre « organizationName » commence par university. :

ldapsearch -L -s one -b "c=US" "o=university*" o description

Les résultats de cette recherche s'affichent au format LDIF. Les valeurs des attributs organizationName et description sont récupérées et affichées dans la sortie standard, ce qui donne une sortie semblable à la suivante :

dn: o=University of Alaska Fairbanks, c=US

 o: University of Alaska Fairbanks

 description: Preparing Alaska for a brave new yesterday.

 description: leaf node only

 dn: o=University of Colorado at Boulder, c=US

 o: University of Colorado at Boulder

 description: No personnel information

 description: Institution of education and research

 dn: o=University of Colorado at Denver, c=US

 o: University of Colorado at D


ndsindex

L'utilitaire ndsindex crée, liste, suspend, reprend ou supprime les index. Sa syntaxe est la suivante :

ndsindex list [-h <hostname>] [-p <port>] -D <bind DN> -W|[-w <password>] [-l limit] -s <eDirectory Server DN> [-Z[Z]] [<indexName1>, <indexName2>.....]
ndsindex add [-h <hostname>] [-p <port>] -D <bind DN> -W|[-w <password>] [-l limit] -s <eDirectory Server DN> [-Z[Z]] <indexDefinintion1> [<indexDefinintion2>.....]
ndsindex delete [-h <hostname>] [-p <port>] -D <bind DN> -W|[-w <password>] [-l limit] -s <eDirectory Server DN> [-Z[Z]] <indexName1> [<indexName2>.....]
ndsindex resume [-h <hostname>] [-p <port>] -D <bind DN> -W|[-w <password>] [-l limit] -s <eDirectory Server DN> [-Z[Z]] <indexName1> [<indexName2>.....]
ndsindex suspend [-h <hostname>] [-p <port>] -D <bind DN> -W|[-w <password>] [-l limit] -s <eDirectory Server DN> [-Z[Z]] <indexName1> [<indexName2>.....]

REMARQUE :  Sur les serveurs NetWare, cet utilitaire est appelé nindex.


Tableau . ndsindex

Option Description

list

Liste le ou les index spécifié(s). Si aucun index n'est spécifié, ndsindex liste tous les index présents sur le serveur.

add

Crée un nouvel index.

delete

Supprime le ou les index spécifié(s) .

resume

Reprend le ou les index spécifié(s) à partir d'un état hors ligne.

suspend

Suspend le ou les index spécifié(s) avec un état hors ligne.

-s eDirectory Server DN

Spécifie le nom distinctif du serveur eDirectory.

REMARQUE :  Pour plus d'informations sur les options communes, reportez-vous à Tableau , Options communes à tous les outils ldap .


Exemples

Pour lister les index du serveur MonHôte, entrez la commande suivante :

ndsindex list -h MonHôte -D cn=admin, o=monentreprise -w motdepasse -s cn=MonHôte, o=novell

Pour créer un index de sous-chaînes appelé Monindex sur l'attribut d'adresse électronique, entrez la commande suivante :

ndsindex add -h monhôte -D cn=admin, o=monentreprise -w motdepasse -s cn=monhôte, o=novell "Monindex; adresse électronique;sous-chaîne"

Pour créer un index de valeur appelé Monindex sur l'attribut de ville, entrez la commande suivante :

ndsindex add -h monhôte -D cn=admin, o=monentreprise -w motdepasse -s cn=monhôte, o=novell "Monindex;ville;valeur"

Pour créer un index de presence appelé Monindex sur l'attribut de numéro de téléphone personnel, entrez la commande suivante :

ndsindex add -h monhôte -D cn=admin, o=monentreprise -w motdepasse -s cn=monhôte, o=novell "Monindex;numéro de téléphone personnel;présence"

Pour supprimer l'index appelé Monindex, entrez la commande suivante :

ndsindex delete -h monhôte -D cn=admin, o=monentreprise -w motdepasse -s cn=monhôte,o=novell Monindex

Pour suspendre l'index appelé Monindex, entrez la commande suivante :

ndsindex suspend -h monhôte -D cn=admin, o=monentreprise -w motdepasse -s cn=monhôte, o=novell Monindex

Pour reprendre l'index appelé Monindex, entrez la commande suivante :

ndsindex resume -h monhôte -D cn=admin, o=monentreprise -w motdepasse -s cn=monhôte, o=novell Monindex