为什么 LDAP_MATCHING_RULE_IN_CHAIN 或 1.2.840.113556.1.4.1941 为 AD 用户的递归组提供空白结果?
Why is LDAP_MATCHING_RULE_IN_CHAIN or 1.2.840.113556.1.4.1941 giving blank results for AD user's recursive groups?
尝试了以下 ldap 查询。
ldap_query = "(&(objectCategory=Person)(objectClass=user)(member:1.2.840.113556.1.4.1941:=CN=xx,CN=Users,DC=aa,DC=ss,DC=com))"
ldap_query = "(member:1.2.840.113556.1.4.1941:=CN=xx,CN=Users,DC=aa,DC=ss,DC=com)"
代码如下
for hostname in <<domain.domain_controllers>>:
tls = ldap3.Tls(validate=ssl.CERT_NONE, version=ssl.PROTOCOL_TLS)
server = ldap3.Server(hostname, get_info=ldap3.ALL, mode=ldap3.IP_V4_PREFERRED, tls=tls, use_ssl=True)
with ldap3.Connection(server=server, authentication=ldap3.NTLM, auto_bind=True, password=xx, read_only=True, receive_timeout=30,user=yy) as ldap_connection:
search_parameters = {'search_base': 'DC=aa,DC=ss,DC=com', 'search_filter': ldap_query, 'attributes': ['*']}
ldap_connection.search(**search_parameters)
print(ldap_connection.entries)
它只是为所有 DC 打印 [],但用户有组和子组,如手动检查的那样。
我假设 CN=xx,CN=Users,DC=aa,DC=ss,DC=com 是一个用户对象,而您正在尝试查找以该用户为成员的组。我说得对吗?
第一个查询将不起作用,因为它正在搜索具有 member 属性集的 用户 。用户没有 member 属性。
第二个查询将 return 具有 CN=xx 作为成员的任何对象。唯一具有 member 属性的对象是组,但您可以进一步将其限制为仅组,这可能会提高查询的性能(因为 objectClass 已编入索引):
ldap_query = "(&(objectClass=group)(member:1.2.840.113556.1.4.1941:=CN=xx,CN=Users,DC=aa,DC=ss,DC=com))"
无需在每个 DC 上进行相同的查询。他们都会给你相同的信息。如果您没有获得此查询的任何结果,则可能有以下几个原因:
- 您的连接详细信息有问题。尝试进行一些您知道应该像
(objectClass=user) 一样工作的其他查询(这将 return 所有用户对象)并查看您是否得到结果。
- 您使用的
distinguishedName 不正确。验证它是否正确。您可以尝试这样搜索它:(distinguishedName=CN=xx,CN=Users,DC=aa,DC=ss,DC=com) 看看是否有结果。
- 如果您的 AD 林有多个域,您看到的组可能在另一个域中。除非您正在查询全局目录 (GC),否则您不会在其他域中找到组。
尝试了以下 ldap 查询。
ldap_query = "(&(objectCategory=Person)(objectClass=user)(member:1.2.840.113556.1.4.1941:=CN=xx,CN=Users,DC=aa,DC=ss,DC=com))"
ldap_query = "(member:1.2.840.113556.1.4.1941:=CN=xx,CN=Users,DC=aa,DC=ss,DC=com)"
代码如下
for hostname in <<domain.domain_controllers>>:
tls = ldap3.Tls(validate=ssl.CERT_NONE, version=ssl.PROTOCOL_TLS)
server = ldap3.Server(hostname, get_info=ldap3.ALL, mode=ldap3.IP_V4_PREFERRED, tls=tls, use_ssl=True)
with ldap3.Connection(server=server, authentication=ldap3.NTLM, auto_bind=True, password=xx, read_only=True, receive_timeout=30,user=yy) as ldap_connection:
search_parameters = {'search_base': 'DC=aa,DC=ss,DC=com', 'search_filter': ldap_query, 'attributes': ['*']}
ldap_connection.search(**search_parameters)
print(ldap_connection.entries)
它只是为所有 DC 打印 [],但用户有组和子组,如手动检查的那样。
我假设 CN=xx,CN=Users,DC=aa,DC=ss,DC=com 是一个用户对象,而您正在尝试查找以该用户为成员的组。我说得对吗?
第一个查询将不起作用,因为它正在搜索具有 member 属性集的 用户 。用户没有 member 属性。
第二个查询将 return 具有 CN=xx 作为成员的任何对象。唯一具有 member 属性的对象是组,但您可以进一步将其限制为仅组,这可能会提高查询的性能(因为 objectClass 已编入索引):
ldap_query = "(&(objectClass=group)(member:1.2.840.113556.1.4.1941:=CN=xx,CN=Users,DC=aa,DC=ss,DC=com))"
无需在每个 DC 上进行相同的查询。他们都会给你相同的信息。如果您没有获得此查询的任何结果,则可能有以下几个原因:
- 您的连接详细信息有问题。尝试进行一些您知道应该像
(objectClass=user)一样工作的其他查询(这将 return 所有用户对象)并查看您是否得到结果。 - 您使用的
distinguishedName不正确。验证它是否正确。您可以尝试这样搜索它:(distinguishedName=CN=xx,CN=Users,DC=aa,DC=ss,DC=com)看看是否有结果。 - 如果您的 AD 林有多个域,您看到的组可能在另一个域中。除非您正在查询全局目录 (GC),否则您不会在其他域中找到组。