1

我有一个带有 openLDAP 用户联合的 Keycloak。在 LDAP 中,我有一个属于多个组的用户“someUser”,即:

dn: cn=developers,ou=groups,dc=example,dc=com
changetype: add
objectclass: groupOfNames
member: cn=architects,ou=groups,dc=example,dc=com

dn: cn=architects,ou=groups,dc=example,dc=com
changetype: add
objectclass: groupOfNames
member: uid=someUser,ou=People,dc=example,dc=com

在我的 Keycloak 上,对于 LDAP,我为角色创建了一个 LDAP 映射器,如下所示

  • 映射器类型:角色-ldap-映射器
  • LDAP 角色 DN:ou=groups,dc=example,dc=com
  • 角色名称 LDAP 属性:cn
  • 角色对象类:groupOfNames
  • Membership LDAP 属性:member Membership
  • 属性类型:DN 成员资格
  • 用户 LDAP 属性:uid
  • LDAP 过滤器
  • 模式:只读
  • 用户角色检索策略:LOAD_ROLES_BY_MEMBER_ATTRIBUTE
  • 成员的 LDAP 属性:memberOf
  • 使用领域角色映射:开

问题是当我尝试代表用户“someUser”获取令牌时,只有角色“建筑师”出现在令牌上。基于 LDAP 嵌套分组,我预计“建筑师”和“开发人员”角色都会出现在令牌上。

基于类似主题的其他答案,我尝试将以下内容添加到 LDAP 过滤器中:

memberOf:1.2.840.113556.1.4.1941

但这似乎只适用于 Microsoft Active Directory。

我的问题是,为了在令牌中同时拥有“建筑师”和“开发人员”这两个角色,我必须做什么?(除了必须对它们进行硬编码)。

4

1 回答 1

1

尝试在以下位置替换成员和对象类:

dn: cn=developers,ou=groups,dc=example,dc=com
changetype: add
objectclass: groupOfURLs
memberURL: ldap:///cn=architects,ou=groups,dc=example,dc=com?sub?(objectclass=*)

这种组定义称为动态组,你应该在你的openldap中尝试ldapsearch,看看目录是否发送了正确的对象,例如:

  ./ldapsearch -h localhost--port 1389 -D "cn=Directory Manager" -w "password" -b "uid=someUser,ou=People,dc=example,dc=com" -s sub "(objectclass=*)" member

欲了解更多信息:https ://www.zytrax.com/books/ldap/ch11/dynamic.html

于 2020-10-15T09:09:33.073 回答