问题标签 [directory-server]

Sun Directory Server 中的 manager 属性有问题。我为目录中的用户设置了此属性，例如 cn=testmanager,dc=test,dc=com 并且当我更改管理器的 dn 时，此更改不会在管理器属性中传播。

例如：

我有两个用户：

和

然后我将经理的 dn 修改为：

但是 cn=testperson,dc=test,com 中的 manager 属性不变，仍然等于 cn=testmanager,dc=test,dc=com。在 Active Directory 中它工作正常。

属性的确切定义：

在我作为首席开发人员的项目中，我们之前有一个存储单个 XML 文件的网络配置。配置包含有关网络布局的信息 - 其组成主机，有关每个主机的各种详细信息，如操作系统、平台、在每个主机中配置的用户、每个用户的多个属性等等。在即将发布的产品版本中，我们希望将数据移动到某种数据库中，因为配置将被扩展以包含更多元素和细节，并且在 XML 文件中维护它们将开始变得繁琐。

第一个选择是 RDBMS。然而，由于配置数据的分层性质和可扩展性标准，目录服务器似乎是更好的选择。使用目录服务器的动机是

1. 在目录服务器中建模分层数据比在 RDBMS 中更容易。

2. 创建/定义扩展具有附加属性的基本类型的新实体类型也容易得多。从解决问题的角度来看，这是非常有吸引力的。

3. 配置数据的读取频率将高于更新频率。尽管性能不是问题，但目录服务器非常适合此特性。

在对 LDAP 和目录服务器的基础知识进行了大约一周的引导之后，我现在对目录服务器的选择有些怀疑。我看到几个问题：

1. LDAP 不如 RDBMS 主流。更多的人有过一些 SQL 的经验，并且可以比目录服务器更快地开始使用 RDBMS。正如我之前提到的，我花了一个多星期的时间来学习 LDAP 的基础知识（如何创建模式、定义 DIT、添加条目、将数据导出到 LDIF 文件等等）。这很重要，因为当新成员加入团队时，他/她不会面临学习曲线。

2. 将来我们可能有更多的数据需要维护和存储在数据库中。目录服务器可能不是此类数据的好选择（例如，数据可能会随着读取的频率而更新）。在我看来，拥有两种存储机制是一种负担。

3. 在更具政治性的方面，我不会因为选择 RDBMS 而受到指责/解雇，即使它不适合当前手头的问题。对于目录服务器，如果上面的第 2 点成为现实，我不想回答“你为什么不早点想到这一点？”这个问题。

我正在寻找有关如何做出选择的建议。有没有人遇到过类似的情况？

EDIT-1：我们在项目中对此进行了讨论，我在这里提出了确切的观点。由于以下原因，我们很可能会选择不做任何进一步评估的 RDBMS：

1. 第 2 点被认为比其他任何事情都重要。

2. 我单位内部的想法似乎相当保守，各个级别的人都希望安全行事。不过我真的不能怪他们。

3. “为什么不是 RDBMS？” 是第一个问题。“可以用 RDBMS 完成吗？” 是第二个。我终于收到消息了。

我在我的应用程序中使用 Unboundid In-Memory Directory Server，到目前为止它运行良好（比 Apache DS 更喜欢它）。但是，当我的应用程序完成后，我想关闭服务器时，它似乎“挂起”，即执行了shutDown() 命令，但线程不会停止。

它执行时不会抛出异常或其他东西，但它仍然不会关闭。

有趣的是，如果我在没有处理的情况下执行上面的代码，它就可以工作。

编辑

处理编码主要是调用ldapConnection.search()和ldapConnection.getEntry()多次获取一些用户和组信息。然后它使用此信息创建对象，然后将它们插入数据库。

编辑 2

shutDown("default",true)或被shutDown(true)调用没有区别。我将测试您稍后提到的其他内容。

如果您有一个属性，其值由逗号分隔的值列表组成，那么检索该值的某些部分的最佳方法是什么？

例子：

我的属性：value1、value2、value3、value4

到目前为止，我已经使用正则表达式来做到这一点，但这似乎是错误的（因为我觉得可能有更好的解决方案）。

我正在使用 Unboundid LDAP SDK 来访问 LDAP。

如何使用 LDAPS 从我的 Java 应用程序访问 RedHat 目录服务器/HP UX 目录服务器？我正在尝试通过 LDAP 访问它，它工作正常，但是在使用 LDAPS 时它没有建立与服务器的连接。

这是我的代码，它不起作用：

如果我替换ldapsby ，上面的代码可以正常工作ldap。

但我也需要代码来为 LDAPS 工作。有些网站提到需要密钥库、证书等。但我对这些一无所知。

我确认MemberOf Plugin已在 Oracle Directory Server 中启用，memberOf属性位于 Schema: Attributes 的 Standard Attributes 列表中。在 memberOf 属性的详细信息中，列表中有三个条目Used as Allowed by：inetAdmin、inetUser、nsManagedPerson。

但并非所有用户帐户都属于他们。相反，它们有 ObjectClass: inetOrgPerson, organizationalPerson, person, top。而且似乎我无法向用户添加额外的 ObjectClass。

如何为现有用户帐户启用或添加 memberOf 属性？它如何自动将组名或 DN 填充到所有用户帐户？

假设用户是 2 个或更多动态组的一部分。如何查询用户所属的所有组的列表？我已经检查了人们谈论具有“成员”属性的静态组的答案。我没有找到动态组的答案。

我正在尝试通过 LDAP 过滤器获取 LDAP 服务器中的用户列表。

我们有一个名为 customuser 的自定义对象类，我们使用它来代替用户对象类。

我们的基础 dn 如下所示： dc=somedomain,dc=edu

所以我试图列出用户的组的 dn 是： cn=staff,ou=group,dc=somedomain,dc=edu

所以我在想过滤器应该是这样的： (&(objectCategory=customuser) (memberOf=cn=staff,ou=group,dc=somedomain,dc=edu))

但是此过滤器不起作用，它返回 0 个条目。

我在 CentOS 上运行 389-DS。版本 - '389-ds-base.i686 1.2.11.15-34.el6_5'。安全扫描显示在端口 389 和 636 上发现了 NullCiphers。

我试图通过关闭 DS、编辑所有“/etc/dirsrv/slapd-/dse.ldif”文件上的“nsSSL3Ciphers”并启动 DS 来禁用它们。nsSSL3Ciphers 现在看起来像这样 -

扫描仍然在这 2 个端口上显示空密码。

关于如何禁用这些 Null 密码的任何想法？

我正在为使用 LDAP 存储企业目录的 PBX 电话解决方案使用 ODSEE LDAP 服务器。

每天都需要从 Oracle 关系数据库表中导入所有企业目录数据。

我发现对于其他 LDAP Oracle 解决方案，如 Oracle Internet Directory，有一种非常简单的同步方法，只需将列名映射到 ldap 前缀，如下所述：

https://docs.oracle.com/cd/B14099_19/idmanage.1012/b14085/odip_db004.htm

你知道在 ODSEE 中是否有任何方法可以做到这一点？

谢谢。