3

我们有一个特定用户的 LDAP 登录问题,我怀疑这是由于 LDAP 中的循环组分配,即用户被分配到组 A、B、C、D。组 A 包含子组 E、F、G,组 E 再次包含组 A。

如果我查询用户,我可以看到他被分配了 50 多个组,每个组可能包含更多组,每个组可能包含更多......

我的问题是,如果有一个查询我可以运行以获取这些主要组中的嵌套组,而不是去每个组并手动执行?

服务器是AD

在此处输入图像描述

4

1 回答 1

4

要查找“user1”所属的所有组(对此答案的改编,请参阅AD 搜索过滤器):

  • 将 base 设置为组容器 DN;例如根 DN (dc=dom,dc=fr)
  • 将范围设置为子树
  • 使用以下过滤器:(成员:1.2.840.113556.1.4.1941:=cn=user1,cn=users,DC=x)

LDIFDE.EXE示例(Windows 上的本机命令行 AD 搜索):

ldifde -f t.txt -d "DC=dom,DC=fr" -r "(member:1.2.840.113556.1.4.1941:=CN=jblanc,OU=MonOu,DC=dom,DC=fr)"

备注:据我所知,括号中的用户 DN 名称存在小的语法差异。'1.2.840.113556.1.4.1941' 在 W2K3 SP1 中不起作用,它开始在 SP2 中起作用。我认为它与 W2K3 R2 相同。我在这里用 W2K8R2 测试。

使用 Apache 目录工作室: AD中的Apache LDAP递归查询

结果 :

AD中的Apache LDAP递归查询结果

于 2012-09-03T05:06:30.187 回答