如何使用 Oracle DBMS_LDAP 执行大型(大于 Sizelimit)LDAP 查询
How to perform large (greater than Sizelimit) LDAP queries with Oracle DBMS_LDAP
我在 11g 数据库中有一个 PL/SQL 包,它查找各种属性并处理组成员资格等。特别是一个函数是流水线函数,它 returns 在函数参数中指定的组的所有成员。它适用于少于 1000 名成员的群组。在这种情况下,我收到此错误消息:
ORA-31202: DBMS_LDAP: LDAP client/server error: Sizelimit exceeded
我知道 LDAP(尤其是 MS Active Directory,这是我正在处理的)的查询结果集大小限制为 1000。如果 LDAP 搜索结果超过这么多条目,则查询只是失败并且 returns 没有结果。我没有修改 AD 架构或类似内容的选项。我知道 LDAP 中有一个 "paged" 结果集的概念,但我在我查看的 DBMS_LDAP 文档中没有看到提到该功能。
http://docs.oracle.com/cd/B10501_01/network.920/a96577/smplcode.htm
对于解决方案或解决方法的任何建议、指导或文档 URL,我将不胜感激。
如果 "query slicing" 是最好的方法,请注意从查询所有顶级 OU 开始,并在搜索过滤器中将它们与逻辑 AND 一起使用可能适用于某些情况,但也有不保证在一个 OU 中不会有 1000 个或更多用户对象,并且它们也是目标安全组的成员。所以它可能必须比仅限制 OU 更聪明。
在论坛中找到一些非官方的同行支持回复后,我相信截至 2015 年,DB 11g 随附的 DBMS_LDAP 软件包没有实现标准的“分页搜索结果控制”(https://www.rfc-editor.org/rfc/rfc2696) .
我用来解决这个问题的(仍然有限的)方法是制作一个嵌套的 for 循环,逐步遍历字母表中的每个字母,创建一个通用名称过滤短语。将此与 LDAP 组成员身份可以通过 memberof 多值属性或 primaryGroupID 属性表示的事实相结合,您有 52 个单独的过滤查询!它工作,不是太快,但它工作。
DECLARE
l_retval PLS_INTEGER;
l_alphabet varchar2(26) := 'ABCDEFGHIJKLMNOPQRSTUVWXYZ';
l_slice_prefix varchar2(16);
l_slice_suffix varchar2(16);
l_filter dbms_ldap.string_collection;
l_slice_filter varchar2(1000);
l_primaryGroupToken varchar2(128);
BEGIN
l_primaryGroupToken := get_primaryGroupToken(p_group);
l_retval := get_ldap_session();
--LDAP idiosyncracy: primaryGroup is NOT listed in member of.
--So you really need two distinct queries and "union" them together.
l_filter(0) := '(&(objectCategory=person)(objectClass=user)(primaryGroupID='|| l_primaryGroupToken ||')(!(description=Built-in*)))';
-- lfilter(1) must be populated with output of get_group_dn...
l_filter(1) := '(&(objectCategory=person)(objectClass=user)(memberof='|| get_group_dn(p_group) ||'))';
--ORA-31202: DBMS_LDAP: LDAP client/server error: Sizelimit exceeded
--https://msdn.microsoft.com/en-us/library/ms180880%28v=vs.80%29.aspx
--So shame on MS for the small limit, and shame on Oracle
--for not implementing paging.
--Now we have to implement our own slicing/paging.
--In this case we'll just do first char of the CN
--against each letter of the alphabet. So 26 "non-uniform" pages.
<<filter_loop>>
for iq in l_filter.FIRST..l_filter.LAST LOOP
<<slice_loop>> --see above explanation for sizelimits, this is in lieu of real LDAP control paging.
FOR alphaindex in 1..26 LOOP
l_slice_prefix := '(&(CN='||substr(l_alphabet,alphaindex,1)||'*)';
l_slice_suffix := ')';
l_slice_filter := l_slice_prefix || l_filter(iq) || l_slice_suffix;
l_retval := dbms_ldap.search_s(ld => g_session,
base => g_ldap_auth_base,
scope => dbms_ldap.scope_subtree,
filter => l_slice_prefix || l_filter(iq) || l_slice_suffix,
attrs => l_attrs,
attronly => 0,
res => l_message);
if L_retval = DBMS_LDAP.SUCCESS then
-- ...
END IF;
END LOOP slice_loop;
END LOOP filter_loop;
END;
我在 11g 数据库中有一个 PL/SQL 包,它查找各种属性并处理组成员资格等。特别是一个函数是流水线函数,它 returns 在函数参数中指定的组的所有成员。它适用于少于 1000 名成员的群组。在这种情况下,我收到此错误消息:
ORA-31202: DBMS_LDAP: LDAP client/server error: Sizelimit exceeded
我知道 LDAP(尤其是 MS Active Directory,这是我正在处理的)的查询结果集大小限制为 1000。如果 LDAP 搜索结果超过这么多条目,则查询只是失败并且 returns 没有结果。我没有修改 AD 架构或类似内容的选项。我知道 LDAP 中有一个 "paged" 结果集的概念,但我在我查看的 DBMS_LDAP 文档中没有看到提到该功能。
http://docs.oracle.com/cd/B10501_01/network.920/a96577/smplcode.htm
对于解决方案或解决方法的任何建议、指导或文档 URL,我将不胜感激。
如果 "query slicing" 是最好的方法,请注意从查询所有顶级 OU 开始,并在搜索过滤器中将它们与逻辑 AND 一起使用可能适用于某些情况,但也有不保证在一个 OU 中不会有 1000 个或更多用户对象,并且它们也是目标安全组的成员。所以它可能必须比仅限制 OU 更聪明。
在论坛中找到一些非官方的同行支持回复后,我相信截至 2015 年,DB 11g 随附的 DBMS_LDAP 软件包没有实现标准的“分页搜索结果控制”(https://www.rfc-editor.org/rfc/rfc2696) .
我用来解决这个问题的(仍然有限的)方法是制作一个嵌套的 for 循环,逐步遍历字母表中的每个字母,创建一个通用名称过滤短语。将此与 LDAP 组成员身份可以通过 memberof 多值属性或 primaryGroupID 属性表示的事实相结合,您有 52 个单独的过滤查询!它工作,不是太快,但它工作。
DECLARE
l_retval PLS_INTEGER;
l_alphabet varchar2(26) := 'ABCDEFGHIJKLMNOPQRSTUVWXYZ';
l_slice_prefix varchar2(16);
l_slice_suffix varchar2(16);
l_filter dbms_ldap.string_collection;
l_slice_filter varchar2(1000);
l_primaryGroupToken varchar2(128);
BEGIN
l_primaryGroupToken := get_primaryGroupToken(p_group);
l_retval := get_ldap_session();
--LDAP idiosyncracy: primaryGroup is NOT listed in member of.
--So you really need two distinct queries and "union" them together.
l_filter(0) := '(&(objectCategory=person)(objectClass=user)(primaryGroupID='|| l_primaryGroupToken ||')(!(description=Built-in*)))';
-- lfilter(1) must be populated with output of get_group_dn...
l_filter(1) := '(&(objectCategory=person)(objectClass=user)(memberof='|| get_group_dn(p_group) ||'))';
--ORA-31202: DBMS_LDAP: LDAP client/server error: Sizelimit exceeded
--https://msdn.microsoft.com/en-us/library/ms180880%28v=vs.80%29.aspx
--So shame on MS for the small limit, and shame on Oracle
--for not implementing paging.
--Now we have to implement our own slicing/paging.
--In this case we'll just do first char of the CN
--against each letter of the alphabet. So 26 "non-uniform" pages.
<<filter_loop>>
for iq in l_filter.FIRST..l_filter.LAST LOOP
<<slice_loop>> --see above explanation for sizelimits, this is in lieu of real LDAP control paging.
FOR alphaindex in 1..26 LOOP
l_slice_prefix := '(&(CN='||substr(l_alphabet,alphaindex,1)||'*)';
l_slice_suffix := ')';
l_slice_filter := l_slice_prefix || l_filter(iq) || l_slice_suffix;
l_retval := dbms_ldap.search_s(ld => g_session,
base => g_ldap_auth_base,
scope => dbms_ldap.scope_subtree,
filter => l_slice_prefix || l_filter(iq) || l_slice_suffix,
attrs => l_attrs,
attronly => 0,
res => l_message);
if L_retval = DBMS_LDAP.SUCCESS then
-- ...
END IF;
END LOOP slice_loop;
END LOOP filter_loop;
END;