我能够获取用户所属的用户组。只有当用户被分配到一个组时,我才能得到这个。我正在使用以下搜索过滤器来获取组:
&(objectClass=groupOfNames)(member=cn=${username},ou=Users,dc=example,dc=com)
此过滤器在 openLDAP ldapsearch 中完美运行。但是在 Ping federate 中,当我尝试为一个用户获取超过 1 个组时,它给了我 null 。
请让我知道是否有任何其他方法可以实现。
谢谢, 阿斯维尼 J
问问题
702 次
1 回答
2
不幸的是,这不可能使用 OpenLDAP,因为您的过滤器返回超过 1 个对象(多个组,每个组都有一个唯一的 DN)。如果您查看您的 OpenLDAP 日志,它很可能会向 PingFederate 返回“超出大小限制”消息,因为 PF 明确指示 LDAP 服务器仅返回 1 个对象。在将 PingFederate 与 Active Directory 以外的目录一起使用并返回组列表时,这是一个常见问题。您可以在此处查看有关此类错误的更多信息 -
https://ping.force.com/Support/PingIdentityArticle?id=kA340000000GsD6CAK
如果 OpenLDAP 能够以与 AD 类似的方式管理 Groups 和 Group Memberships,那么您应该能够在尝试时将 Groups 列表返回给 PingFederate。
于 2015-04-21T15:04:22.703 回答