对来自受信任域的用户的 ldap 查询问题
issues with ldap query for users from a trusted domain
我对来自受信任域的用户的 ldap 查询有一些问题:
我有两个完全独立的域:
DomainA (dc=mycity, dc=mycompany, dc=local)
和
DomainB (dc=test, dc=somewhat, dc=local).
DomainB
信任 DomainA
(单向)。
两个域均已设置并由客户控制。
DomainA
有一个全局组 „fs“
并且一些用户(例如 user1 和 user2,都是 DomainA 的成员)是该组的成员。
DomainB
有一个本地组 „companyusers“
并且 fs
被添加为成员。
此本地组是另一个组的成员(例如 „admins“
或 „servicedesk“
)。
现在,当我查询 DomainB
并且过滤器设置为 (sMAAccountname = user1)
时,我没有得到任何结果。此外,当我使用
查询所有成员时
(memberof=CN=companyusers,CN=users,dc=test,dc=somewhat,dc=local)
或
(memberof:1.2.840.113556.1.4.1941:=CN=companyusers,CN=users,dc=test,dc=somewhat,de=local)
我仍然看不到属于 DomainA 的用户。
["CN=companyusers,CN=users,dc=test,dc=somewhat,de=local"
是我用
查询时的路径
(&(objectClass=group)(name=companyusers))]
能够跨 AD 域执行 LDAP 查询的概念很复杂并且有多个依赖项。
要跨域执行 LDAP 查询必须在同一个 AD Forrest 中并且您需要连接到 Global Catalog。
您可以使用以下 LDAP 查询找到托管全局目录的域控制器的可分辨名称:
(&(objectClass=nTDSDSA)(options:1.2.840.113556.1.4.803:=1))
即便如此,LDAP 查询也只会工作组成员,除非所有 Group Types 都是通用组。
最后,1.2.840.113556.1.4.1941 (LDAP_MATCHING_RULE_IN_CHAIN) 过滤器仅适用于基于可分辨名称的属性。
我对来自受信任域的用户的 ldap 查询有一些问题:
我有两个完全独立的域:
DomainA (dc=mycity, dc=mycompany, dc=local)
和
DomainB (dc=test, dc=somewhat, dc=local).
DomainB
信任 DomainA
(单向)。
两个域均已设置并由客户控制。
DomainA
有一个全局组 „fs“
并且一些用户(例如 user1 和 user2,都是 DomainA 的成员)是该组的成员。
DomainB
有一个本地组 „companyusers“
并且 fs
被添加为成员。
此本地组是另一个组的成员(例如 „admins“
或 „servicedesk“
)。
现在,当我查询 DomainB
并且过滤器设置为 (sMAAccountname = user1)
时,我没有得到任何结果。此外,当我使用
(memberof=CN=companyusers,CN=users,dc=test,dc=somewhat,dc=local)
或
(memberof:1.2.840.113556.1.4.1941:=CN=companyusers,CN=users,dc=test,dc=somewhat,de=local)
我仍然看不到属于 DomainA 的用户。
["CN=companyusers,CN=users,dc=test,dc=somewhat,de=local"
是我用
查询时的路径(&(objectClass=group)(name=companyusers))]
能够跨 AD 域执行 LDAP 查询的概念很复杂并且有多个依赖项。
要跨域执行 LDAP 查询必须在同一个 AD Forrest 中并且您需要连接到 Global Catalog。
您可以使用以下 LDAP 查询找到托管全局目录的域控制器的可分辨名称:
(&(objectClass=nTDSDSA)(options:1.2.840.113556.1.4.803:=1))
即便如此,LDAP 查询也只会工作组成员,除非所有 Group Types 都是通用组。
最后,1.2.840.113556.1.4.1941 (LDAP_MATCHING_RULE_IN_CHAIN) 过滤器仅适用于基于可分辨名称的属性。