禁用 LDAP 推荐
Disable LDAP Referral
我目前正在尝试将 SSO 与 Active Directory 集成。 SSO 服务告诉我我的服务器正在响应 LDAP "referrals"。
有没有办法禁用这些推荐?只有一个 server/domain,服务器是域控制器,所以我不知道为什么我会首先得到这些。任何帮助表示赞赏。谢谢!
原来是搜索中的 "base DN" 不够具体。显然,如果您不查明用户所在的确切 OU 或 CN,您将获得推荐。因为我实际上只有一个活动的 OU,所以我只是 hard-pointed 它到那里,现在一切似乎都在工作。
不要使用端口 389,而是使用 Microsoft 特定的端口 3268。
来自MSDN:
Avoid unnecessary SearchResultReference referral chasing
With referral chasing enabled, your code could go from domain to domain in the Active Directory tree trying to satisfy the request if the query cannot be satisfied by the initial domain. This method can be extremely time-consuming. When performing a query for objects and the domain for the objects is unknown, use the global catalog as a base for the search instead of using referral chasing.
然后:
Connecting to the Global Catalog
There are several ways to connect to a global catalog. If you are using LDAP, then use port 3268 in the ldap_open or ldap_init calls.
您可能认为初始(仅!)域满足了一切,但是...这是官僚作风,1 件事的列表仍然是列表。
创建安全组时,您可以将其设为全局或域本地。如果用户属于一个全局组,就像我的情况一样,AD 会自动假定在全局目录中可以找到更多信息,因此对端口 389 的查询将生成 3 个引用。触发引用可能还有其他原因。
我不得不解决这个问题,因为我在顶层下有很多 OU,我想在一次身份验证中查询所有这些。
特别是 ProFTPd 的 mod_ldap.c 被这些推荐分散了注意力。它在单独的 LDAP 事务中跟随它们 而没有 绑定与初始查询相同的凭据。尽管他们没有添加任何内容,但 ldap 库一定返回了一个不透明的错误。
我目前正在尝试将 SSO 与 Active Directory 集成。 SSO 服务告诉我我的服务器正在响应 LDAP "referrals"。
有没有办法禁用这些推荐?只有一个 server/domain,服务器是域控制器,所以我不知道为什么我会首先得到这些。任何帮助表示赞赏。谢谢!
原来是搜索中的 "base DN" 不够具体。显然,如果您不查明用户所在的确切 OU 或 CN,您将获得推荐。因为我实际上只有一个活动的 OU,所以我只是 hard-pointed 它到那里,现在一切似乎都在工作。
不要使用端口 389,而是使用 Microsoft 特定的端口 3268。
来自MSDN:
Avoid unnecessary SearchResultReference referral chasing
With referral chasing enabled, your code could go from domain to domain in the Active Directory tree trying to satisfy the request if the query cannot be satisfied by the initial domain. This method can be extremely time-consuming. When performing a query for objects and the domain for the objects is unknown, use the global catalog as a base for the search instead of using referral chasing.
然后:
Connecting to the Global Catalog
There are several ways to connect to a global catalog. If you are using LDAP, then use port 3268 in the ldap_open or ldap_init calls.
您可能认为初始(仅!)域满足了一切,但是...这是官僚作风,1 件事的列表仍然是列表。
创建安全组时,您可以将其设为全局或域本地。如果用户属于一个全局组,就像我的情况一样,AD 会自动假定在全局目录中可以找到更多信息,因此对端口 389 的查询将生成 3 个引用。触发引用可能还有其他原因。
我不得不解决这个问题,因为我在顶层下有很多 OU,我想在一次身份验证中查询所有这些。
特别是 ProFTPd 的 mod_ldap.c 被这些推荐分散了注意力。它在单独的 LDAP 事务中跟随它们 而没有 绑定与初始查询相同的凭据。尽管他们没有添加任何内容,但 ldap 库一定返回了一个不透明的错误。