问题标签 [memberof]

我正在使用 CentOs 7.x 64 位版本来设置 openLdap。我想使用 memberof 覆盖向用户显示他们是哪些组的成员。我的理解是，当 memberof 和 refint 覆盖处于活动状态时，Openldap 服务器会自动维护用户的 memberof 属性，并确保它与实际成员资格一致。但是，它根本没有这样做。我可以手动设置 memberof 属性，但它不必保持一致，也不会自动维护。

问题是：我对它应该如何工作以及如何让它工作的理解是否正确？

我的主要要求是准确显示会员资格。如果我可以通过 memberof 操纵成员资格，那会很好，但这不是必需的。

细节

我是按照以下步骤完成的：

1. 在人员组中创建一个人，对象类为“inetOrgPerson”和“人”。并命名为“乔”
2. 创建一个名为“groupOfNames”的组，名为“agent”。并且具有值为“uid=joe,ou=people,dc=company,dc=com”的成员属性

现在，当我查看人“乔”时，我找不到在 Apache ldap 工作室中启用了“显示组织属性”的“memberOf”属性。而且用下面的命令行搜索，也找不到组。

以下是 slapcat 的片段：

我正在使用 ansible 来运行配置。这是配置文件的片段

我尝试手动添加 memberOf 属性，搜索可以返回该组。但是，当人员的组更新时，它不会维护该组。所以我怀疑翻新也不起作用。

这是活动覆盖片段：

我正在编写一个 PowerShell 脚本来批量修改用户，但我遇到了一个包含特定部分的墙。

目前我的组织中有一系列以“RIS_”开头的组 - 经常添加和删除新组，因此我的想法是创建一个脚本，可以检查 .csv（参考 = $Username）中列出的每个用户以查看如果它们属于以“RIS_”开头的组。

例如，基本组是“RIS_ReadOnly”，它授予对我们组织内使用的应用程序的基本访问权限。其他组代表具有不同权限的各种访问级别，但作为多个组的成员将始终强制最低权限。这是我无法控制的事情，所以我无法推动改变工作方式。

脚本本身从 .csv 文件中提取 - 整个部分已排序并正常工作。

用户一次只能是这些组之一的成员，我们通常的过程包括将它们添加到基本的 ReadOnly 组。但是，这并没有考虑到正在返回工作岗位的现有用户，这些用户可能具有提升的访问权限，因此在添加到 ReadOnly 组时将失去访问权限。由于来来往往的员工数量，我们无法实际检查每个帐户的现有会员资格，因此脚本。

此命令需要检查用户是否是以“RIS_”开头的组的成员。如果用户不在组中，则将其添加到 .csv 中指定的组（参考 = $RIS）。如果用户在一个组中，那么它将编写一条消息并继续代码的下一个阶段，而不将它们添加到任何内容中。

我在网上找到的所有内容都指向首先获取组本身并列出成员，但这不起作用，因为组的数量会随着时间的推移而变化，并且每个组中都有大量的用户。有没有办法用“IF”语句来设置它？我已经尝试了多种方法，但是脚本要么根本不添加任何东西，要么无论如何都添加了组。

这是我目前所拥有的，但显然它不起作用。有小费吗？

以下是完整的脚本（请原谅新手的混乱）

我还附上了下面输入 csv 的屏幕截图：

如果我执行以下操作，则 memberOf 属性不会在 ldap 简单搜索中显示，那么 memberOf 属性将被隐藏。

ldapsearch -Y 外部 -H ldapi:/// -b dc=example,dc=com

但是如果我执行以下操作，则会出现 memberOf 属性

ldapsearch -Y external -H ldapi:/// -b dc=example,dc=com memberOf

你能帮我解决这个问题吗

在 ansible 2.10 中，我使用ldap_attrs 模块来启用 openldap memberof 模块：

第一次执行任务效果很好，但如果我第二次播放剧本，它会失败：

already exists听起来像我所期望的，所以我很惊讶它被认为是致命的。

它是一个错误的错误，还是我错过了配置中的某些内容？

有人可以帮我搜索 memberof bycn = 'userid'吗？

这就是我到目前为止所拥有的：

我刚刚开始编写 Powershell 脚本来执行重复性任务。我想编写一个脚本，提示输入 AD 组和 AD 用户 ID，然后将该用户添加到安全组。

它是这样开始的：

我已经在网上搜索了很多页面，但还没有找到答案。我需要使用 ldapsearch 查询 MS Windows AD 服务器以获取特定组的用户/帐户。因此我尝试使用与此类似的过滤器字符串：

(memberOf=CN=App-User,ou=Org Staff,dc=organization,dc=local)

在 base-DN 中，Org 和 Staff 之间的空格没有问题，但在过滤器字符串中。我尝试了许多逃离空间的组合，但没有成功。有人知道如何让它与 OU 中的空间一起工作，还是我们必须更改 AD 服务器上的 OU？非常感谢，尼科

我负责设置一个带有 OpenLDAP 服务器的 Cisco ASA 5xxx 防火墙，用于在 VPN 中进行身份验证。到目前为止一切正常。

但是，我正在尝试检查用户的“memberOf”属性以评估他是否能够连接到连接配置文件隧道。事实上，我有一些连接配置文件，我想阻止用户访问它们中的每一个。根据 memberOf 值，我想允许或不允许用户访问隧道。所以我开始使用 DAP 规则来检查被认证用户的 memberOf ldap 属性。这个 memberOf 是我的 OpenLDAP 服务器中的一个覆盖，并且有许多 memberOf 属性。

我能够根据“ldap.uid”过滤规则并根据用户名拒绝访问。如果我尝试使用“ldap.memberOf”进行过滤，它就不再起作用了。就像 cisco DAP 规则无法识别此特定属性或其值一样。我不懂为什么 ：/。此属性的格式为：“cn=myGroup,ou=Groups,dc=xxxx,dc=yyyy”。我确实复制/粘贴了防火墙 DAP 规则中的值。

我使用 ASDM 来管理防火墙，但我不熟悉它的命令行...

如果有人想使它与“memberOf”一起使用，我将非常感激：D

先感谢您

我在我的 openldap 服务器中启用了 memberOf 覆盖。它被视为操作属性，因此不会在任何 ldapsearch 请求中返回。

有谁知道如何设置此属性对任何在 ldapsearch 中查询任何用户的人可见（不使用“+”）？到目前为止，我已尝试添加“oclAccess”ACL 规则，但没有任何成功。

提前感谢您的任何建议

我正在尝试在 ADUaC 中创建一个自定义查询，以帮助我在我的系统中索引管理员。我已经缩小了需要列出其成员的安全组的范围，但是我以某种方式滥用了“memberOf”属性，这会破坏查询。

上面的查询可以很好地返回所有用户，但是当我将通配符更改为其他任何内容（例如(memberOf=*Administrators*)）时，查询不会返回任何对象。

我已确认此查询有一个相关的安全组可以从中获取用户。我知道它不适用于主要组或嵌套用户，我现在只是想让它在基本级别上工作。任何人都知道如何让代码返回属于安全组成员的用户？