对来自受信任域的用户的 ldap 查询问题

issues with ldap query for users from a trusted domain

我对来自受信任域的用户的 ldap 查询有一些问题:

我有两个完全独立的域:

DomainA (dc=mycity, dc=mycompany, dc=local)

DomainB (dc=test, dc=somewhat, dc=local).

DomainB 信任 DomainA(单向)。 两个域均已设置并由客户控制。

DomainA 有一个全局组 „fs“ 并且一些用户(例如 user1 和 user2,都是 DomainA 的成员)是该组的成员。

DomainB 有一个本地组 „companyusers“ 并且 fs 被添加为成员。 此本地组是另一个组的成员(例如 „admins“„servicedesk“)。

现在,当我查询 DomainB 并且过滤器设置为 (sMAAccountname = user1) 时,我没有得到任何结果。此外,当我使用

查询所有成员时
(memberof=CN=companyusers,CN=users,dc=test,dc=somewhat,dc=local)

(memberof:1.2.840.113556.1.4.1941:=CN=companyusers,CN=users,dc=test,dc=somewhat,de=local) 

我仍然看不到属于 DomainA 的用户。

["CN=companyusers,CN=users,dc=test,dc=somewhat,de=local"

是我用

查询时的路径
(&(objectClass=group)(name=companyusers))]

能够跨 AD 域执行 LDAP 查询的概念很复杂并且有多个依赖项。

要跨域执行 LDAP 查询必须在同一个 AD Forrest 中并且您需要连接到 Global Catalog

您可以使用以下 LDAP 查询找到托管全局目录的域控制器的可分辨名称:

(&(objectClass=nTDSDSA)(options:1.2.840.113556.1.4.803:=1))

即便如此,LDAP 查询也只会工作组成员,除非所有 Group Types 都是通用组。

最后,1.2.840.113556.1.4.1941 (LDAP_MATCHING_RULE_IN_CHAIN) 过滤器仅适用于基于可分辨名称的属性。