对来自受信任域的用户的 ldap 查询问题

Question

我对来自受信任域的用户的 ldap 查询有一些问题：

我有两个完全独立的域：

DomainA (dc=mycity, dc=mycompany, dc=local)

和

DomainB (dc=test, dc=somewhat, dc=local).

DomainB 信任 DomainA（单向）。两个域均已设置并由客户控制。

DomainA 有一个全局组 „fs“ 并且一些用户（例如 user1 和 user2，都是 DomainA 的成员）是该组的成员。

DomainB 有一个本地组 „companyusers“ 并且 fs 被添加为成员。此本地组是另一个组的成员（例如 „admins“ 或 „servicedesk“）。

现在，当我查询 DomainB 并且过滤器设置为 (sMAAccountname = user1) 时，我没有得到任何结果。此外，当我使用

查询所有成员时

(memberof=CN=companyusers,CN=users,dc=test,dc=somewhat,dc=local)

或

(memberof:1.2.840.113556.1.4.1941:=CN=companyusers,CN=users,dc=test,dc=somewhat,de=local)

我仍然看不到属于 DomainA 的用户。

["CN=companyusers,CN=users,dc=test,dc=somewhat,de=local"

是我用

查询时的路径

(&(objectClass=group)(name=companyusers))]

Answer 1

能够跨 AD 域执行 LDAP 查询的概念很复杂并且有多个依赖项。

要跨域执行 LDAP 查询必须在同一个 AD Forrest 中并且您需要连接到 Global Catalog。

您可以使用以下 LDAP 查询找到托管全局目录的域控制器的可分辨名称：

(&(objectClass=nTDSDSA)(options:1.2.840.113556.1.4.803:=1))

即便如此，LDAP 查询也只会工作组成员，除非所有 Group Types 都是通用组。

最后，1.2.840.113556.1.4.1941 (LDAP_MATCHING_RULE_IN_CHAIN) 过滤器仅适用于基于可分辨名称的属性。

issues with ldap query for users from a trusted domain