3

我有一个类似于这样的域结构:

DC=us,DC=earth,DC=com
DC=uk,DC=earth,DC=com
DC=au,DC=earth,DC=com

每个域都有一个用户 OU 和一个组 OU。

每个域都有用户 (us,uk,au) 01 到 10 即 us01, us02,...., uk01, uk02,.. ,au01, au02..

有一个群:

cn=group1,ou=groups,DC=uk,DC=earth,DC=com

us01、uk01 和 au01 是

cn=group1,ou=groups,DC=uk,DC=earth,DC=com.

我正在尝试运行 LDAP 查询以返回 

cn=group1,ou=groups,DC=uk,DC=earth,DC=com

我相信“DC=earth,DC=com”的基本 DN,过滤器为

memberof=cn=group1,ou=groups,DC=uk,DC=earth,DC=com"

具有 SUBTREE 级别的范围应该可以工作,但事实并非如此。

我究竟做错了什么?可能吗?

我正在使用 JXplorer 进行测试。

此外,我只能查询/返回本地域中包含的对象,即如果我使用 earth.com 作为 BASE DN,我只能“看到”返回的地球域中的对象。它似乎无法跨越子域。这是正常的吗?

我也无法查看同级域中的对象,即当使用 au 域作为 BASE DN 时,我看不到 uk 用户。我相信这是正确的,因为 BASE DN 需要在其 SUBTREE 中包含 AD 对象才能“看到”它们。这个对吗?

4

3 回答 3

2

由于您位于不同的域中,因此您需要能够追逐推荐。我不知道 Jxplorer 的功能以及是否可以自动跟踪推荐。

正如 Tim A 所说,您需要确保您拥有适当的权限来访问您尝试访问的所有上下文。-吉姆

于 2012-12-11T08:58:48.330 回答
2

看起来您正在包含要在过滤器中返回的属性。尝试仅将cn=group1,ou=groups,DC=uk,DC=earth,DC=com其用作您的基础,范围为BASE,过滤器为(*objectclass=*)(这将使您直接进入您尝试查询的组)。然后从搜索返回的条目中,获取包含成员列表的属性。

至于您能够遍历哪些子域,这可能取决于应用于树的 ACL(访问控制列表),或者它可能只是 Jxplorer 中的怪异。IMO,Jxplorer 是垃圾。

是的,无论您使用什么工具,您都只能看到低于您定义为 BASE DN 的条目。

于 2012-12-10T23:09:00.797 回答
0

可能为时已晚,但我正在尝试解决同样的问题。我正在尝试获取一个组的所有用户,但它没有返回任何内容,因为该组的所有用户都在一个子域下。微软支持说“这是不可能的”。他们建议对每个子域执行搜索。链接如下;

https://social.technet.microsoft.com/Forums/windowsserver/en-US/45008d6c-59e0-49a3-87a6-894dd5d6d5b6/ldap-query-not-returning-subdomains?forum=winserverDS

我还发现,如果网络上运行了适当的全局目录服务器,则可以通过一次查询从所有子域中获取结果。使用 3268 端口而不是 389 端口进行 LDAP 连接可以使用所有子域树查询全局目录。

于 2016-12-19T11:40:17.397 回答