ldapsearchとは？初心者向け解説：LDAP検索を手軽に行うldapsearchの基本共起語・同意語・対義語も併せて解説！

この記事を書いた人

高岡智則

年齢：33歳性別：男性職業：Webディレクター（兼ライティング・SNS運用担当）居住地：東京都杉並区・永福町の1LDKマンション出身地：神奈川県川崎市身長：176cm 体系：細身〜普通（最近ちょっとお腹が気になる）血液型：A型誕生日：1992年11月20日最終学歴：明治大学・情報コミュニケーション学部卒通勤：京王井の頭線で渋谷まで（通勤20分）家族構成：一人暮らし、実家には両親と2歳下の妹恋愛事情：独身。彼女は2年いない（本人は「忙しいだけ」と言い張る）

ldapsearchとは？

ldapsearchはLDAPディレクトリに対してクエリを投げ、条件に合うエントリを取り出すためのコマンドラインツールです。OpenLDAPというソフトウェア群の一部として、UNIX系の環境で広く使われています。

基本的な考え方

LDAPは住所録のようなデータベースの一種で、組織のユーザー情報やグループ情報を階層構造で管理します。ldapsearchはその中を検索する窓口です。

検索結果は通常LDIF形式という、エントリの属性と値を縦に並べたテキストです。人が読むには長いこともありますが、機械が処理するにはとても便利な形式です。

使い方の基本

基本は次の要素を組み合わせて実行します。接続先、検索の基点、検索条件、表示属性です。

代表的なコマンドの例は次のとおりです。

ldapsearch -x -h ldap.example.org -b dc=example,dc=com (objectClass=*)

よく使うオプションと意味

オプション	意味
-x	簡易認証を使う（SASLではなくパスワード認証）
-h	接続先ホスト名またはIPアドレス
-p	ポート番号
-D	バインド DN（認証に使う識別名）
-W	パスワードを対話式に入力
-b	検索の基点となるベースDN
-s	検索スコープ：base / one / sub
-LLL	LDIF出力を簡略化して改行を抑える
フィルター	(objectClass=*) など、検索条件を指定

実践的なヒント

セキュリティを考える：認証情報は平文のコマンドラインに残らないよう、-W を使うか、暗号化された接続を使うように設定します。

出力を読みやすくする工夫：-LLL を活用して LDIF の空白行やコメントを抑え、機械処理用にします。結果が多い場合は paged results を使うオプションもあります。

初心者がつまずきやすい点として、ベースDNの設定ミス、フィルターの書き方、属性の指定があります。これらは実際に手を動かして、分かる範囲のデータから試すと理解が深まります。

よくある質問

Q: ldapsearchはどんな場面で使いますか？
A: 企業内のユーザー情報を確認したいとき、グループのメンバーを調べたいときなどに使います。

ldapsearchの同意語

ldapsearch: OpenLDAP に含まれる検索ツールの公式名称。LDAP ディレクトリをクエリして情報を取得するためのコマンド。
LDAP検索コマンド: LDAP ディレクトリを検索する目的のコマンド全般を指す表現。通常は ldapsearch を指す場合が多い。
LDAP検索ツール: LDAP ディレクトリを照会・検索するためのツールの総称。コマンド、GUI、ライブラリなどを含む。
OpenLDAP ldapsearch: OpenLDAP パッケージに含まれる ldapsearch コマンドそのものを指す表現。
LDAPクエリツール: LDAP サーバーへクエリを投げる機能を備えたツールの総称。検索条件を指定して結果を取得するもの。
LDAP照会コマンド: ディレクトリ照会を行うコマンドの別称。ldapsearch の役割を説明する言い換え。
LDAP問い合わせコマンド: LDAP ディレクトリへ問い合わせを行うコマンドのこと。
LDAPディレクトリ検索ユーティリティ: LDAP ディレクトリを検索する実用的なツール・ユーティリティの総称。
LDAPサーチコマンド: 英語の search を日本語風に表現した別称。ldapsearch と同義で使われることがある。
LDAPサーチツール: LDAP 検索機能を提供するツールの総称。コマンド系・ライブラリ系など。
LDAP検索ユーティリティ: LDAP の検索機能を提供するユーティリティ。初心者にも理解しやすい言い換え。
OpenLDAPの検索ユーティリティ: OpenLDAP に付属する検索機能を指す表現。
LDAP照会ツール: LDAP ディレクトリへ照会を実行するツールの総称。

ldapsearchの対義語・反対語

ldapmodify: LDAPエントリを変更する操作。取得・検索を行う ldapsearch の対極として、既存データの属性値を更新・修正する行為です。
ldapdelete: LDAPエントリを削除する操作。データを新たに取得するのではなく、ディレクトリからデータを取り除く行為です。
ldapadd: LDAPエントリを新規追加する操作。検索で情報を拾うのとは別に、データを新しく作成する行為です。
ldapcompare: LDAPエントリの属性値を直接比較・検証する操作。検索による広範な取得より、特定の値の一致を直接確認する意味合いがあります。

ldapsearchの共起語

OpenLDAP: ldapsearchが含まれるオープンソースのLDAP実装。ディレクトリサーバーと対話するためのコマンド群を提供する。
LDAP: Lightweight Directory Access Protocolの略。ディレクトリ情報の取得・操作を行う通信規格。
LDIF: LDAP Data Interchange Formatの略。LDAPデータのテキスト表現形式。
LDAPS: LDAP over SSL/TLS。LDAP通信をSSL/TLSで暗号化した接続。
TLS: Transport Layer Security。通信を暗号化する仕組み。
SSL: Secure Sockets Layer。TLSの前身で、現在はTLSが推奨されるが用語として混在することがある。
StartTLS: LDAP接続を開始時にTLSで暗号化する拡張機能。
SASL: Simple Authentication and Security Layer。LDAPの認証機構の一つ。
simple_authentication: SASLを使わず、簡易認証(-x)で接続する方法。
-x: SASLを使わずに単純な認証を行うオプション。
ldap_url: LDAPサーバのURL形式。例: ldap://host:389/dc=example,dc=com
host: 接続先サーバのホスト名またはIPアドレス。
port: 接続先のポート番号（通常389または636）
bind_dn: 認証時に使用する識別名（bind DN）
password_input: 対話的にパスワードを入力するための -W オプション。
password: 認証時のパスワードを直接指定するオプション -w。
base_dn: 検索の基点となるDN。-bで指定する基準。
scope: 検索の範囲設定。base|one|sub。
filter: 検索条件を表すフィルタ表現。例: (objectClass=person)。
attributes: 取得したい属性名のリスト。指定しないとデフォルト属性が返ることがある。
ldif_output: LDIF形式での出力を簡易化する設定。-LLLなどのオプションが関係する。
referrals: リファラル。別のLDAPサーバーへの参照が返ってくる場合の挙動。
controls: LDAPコントロール。拡張機能や追加指示を送る仕組み。
paged_results: ページング制御。大量の結果を分割して取得する機能。
entry: LDAPエントリ。DNと属性から構成されるディレクトリ内のレコード。
dn: Distinguished Name。エントリの一意識別子。
base_search: 基点DNのみを対象とした検索。
one_level_search: 1階層だけを対象にする検索。
subtree_search: 全階層を対象にする検索。

ldapsearchの関連用語

ldapsearch: LDAPディレクトリを検索するためのコマンドラインツール。OpenLDAPパッケージのクライアントで、-b でBase DNを指定し、フィルタで絞り、-H で接続先を、-D/-w や -W で認証を行い、-L/-LLL で出力形式を制御します。
LDAP: Lightweight Directory Access Protocolの略。ディレクトリサービスへアクセスするための通信プロトコル。エントリはDNで識別され、属性として情報を格納します。
OpenLDAP: オープンソースのLDAP実装。サーバとクライアントの両方を提供し、LinuxやUnix系で広く利用されています。
ActiveDirectory: Microsoftのディレクトリサービス。LDAPを含むプロトコルを用いてユーザー・グループ情報を管理します。
LDIF: LDAP Data Interchange Format。ディレクトリデータのエクスポート／インポート用のテキストフォーマット。
DN: Distinguished Name。LDAPエントリを一意に識別する名称。例: uid=john,ou=People,dc=example,dc=com
RDN: Relative Distinguished Name。DNを構成する要素の一部。例: uid=john
BaseDN: 検索の起点となるDN。検索の基準点として使います。
Scope: 検索の範囲。base（基点のみ）、one（直下の子）、sub（階層全体）など。
Filter: LDAP検索フィルタ。エントリを絞り込む条件式。例: (objectClass=person) や (&(objectClass=person)(uid=john))
Attributes: 検索結果で返す属性のリスト。すべて返す場合は (objectClass=*)、特定の属性だけ返すことも可能。
AttributeTypes: 属性の型定義。スキーマで定義され、uid・cn・mail などの意味と取り扱いを決めます。
ObjectClass: エントリのカテゴリを決める属性集合。例: top、person、inetOrgPerson。
inetOrgPerson: よく使われるユーザエントリのオブジェクトクラスで、名前・メールなどの属性を含みます。
BindDN: 認証時の識別名。例: cn=admin,dc=example,dc=com。
BindPassword: 認証時のパスワード。
AnonymousBind: Anonymous Bind。認証情報なしで接続します。権限は制限されることが多いです。
SimpleBind: シンプル認証。プレーンテキストのパスワードを使うバインド方式。TLSで保護することが推奨されます。
StartTLS: 既存のLDAP接続をTLSで保護する拡張機構。セキュアに通信を開始します。
TLS: Transport Layer Security。通信を暗号化して盗聴を防ぎます。
LDAPS: LDAP over SSL。SSL/TLSを用いたLDAPのセキュア接続。
LDAPURL: LDAPのURI形式。例: ldap://host:389/dc=example,dc=com?cn?sub?(!(objectClass=computer))
Paging: 大規模検索の結果をページングして順次取得する機能。サーバと通信量の管理に役立ちます。
PagedResultsControl: ページングを実現するLDAP制御。ページサイズを指定して結果を分割取得します。
AliasDereferencing: エイリアス参照の挙動。-a never|always|search で制御します。
SASL: Simple Authentication and Security Layer。複数の認証機構をまとめた認証フレームワーク。
SASLMechanisms: 利用可能な SASL方式の一覧。例: GSSAPI、DIGEST-M-MD5、SCRAM-SHA-1 など。
RootDSE: ディレクトリの根元にある特別なエントリ。サポートする機能・制御・スキーマ情報を提供します。
SubschemaSubentry: スキーマ情報を格納するサブエントリの参照先。エントリ定義を参照します。
Referrals: エントリが別のLDAPサーバへ誘導するリファラル情報。
ReferralChasing: リファラルを自動的にたどって目的のエントリへ到達する挙動。
AttributesToReturn: 検索で返す属性の制御。-a オプションなどで限定します。
CertificateValidation: TLS接続時にサーバ証明書の検証を行い、信頼性を確保します。
CA: 認証局。TLS証明書を発行・署名する機関。
RootCAStore: システムが信頼するCA証明書のストア。TLS接続時の信頼性チェックに使われます。
SearchSyntax: LDAPフィルタの書き方・演算子の組み合わせを学ぶための構文。
Entries: ディレクトリ内のデータエントリ。DNと属性を持つデータ単位。
SearchResult: 検索の結果として返されるエントリとメタ情報の集合。
CommandLineUsage: ldapsearchの基本的な使い方の例。例: ldapsearch -x -b 'dc=example,dc=com' '(objectClass=person)'