嵌套組LDAP搜索過濾器

Question

我需要有關LDAP搜索過濾器的信息以提取嵌套的組成員身份。 基本上，我的想法是說，例如，一個用戶屬於5個組[A，B，C，D，E]我可以編寫一個LDAP搜索查詢來獲取組[A，B，C， D，E]可能是其中的一部分？ 而且我可以遞歸地使用此logc來檢索所有組信息，直到AD的完整根目錄為止？

而且我需要針對通用廣告的解決方案，因此無法使用僅適用於MS AD的LDAP_RULE_IN_CHAIN過濾器。

Answer 1

組不是LDAP標准中定義的。 就LDAP而言，組條目只是LDAP條目-僅此而已。 組支持的實現，包括如何處理，查詢，驗證諸如嵌套和動態組之類的數據結構，完全取決於目錄軟件供應商。 例如，IBM的Security Directory Server（SDS）軟件通過其專有的對象類和屬性（由軟件專門識別）支持嵌套和動態組，並遍歷（對於嵌套組）和擴展（對於動態組）以驗證成員資格或LDAP客戶端自動完成獲取組結構的操作。 例如，SDS提供諸如ibm-allgroups ibm-allmembers和ibm-allmembers類的操作屬性，以幫助LDAP客戶端在單個搜索中提取嵌套和動態組中的組和成員資格信息。 其他目錄供應商以不同的方式解決相同的問題。 因此，您的解決方案將根據所使用的LDAP軟件而有所不同。 您可以將應用程序設計為支持多個目錄服務器軟件，但這取決於您希望在應用程序中獲得組支持的復雜程度。

Answer 2

用戶所屬的所有組包括嵌套組

例如，要查找“ CN = John Smith，DC = MyDomain，DC = NET”所屬的所有組，請將基數設置為組容器DN； 例如（OU = groupsOU，DC = MyDomain，DC = NET）和范圍子樹，並使用以下過濾器。

（成員：1.2.840.113556.1.4.1941：=（CN = John Smith，DC = MyDomain，DC = NET））

其中CN = John Smith，DC = MyDomain，DC = NET是用戶的FDN和可擴展匹配規則1.2.840.113556.1.4.1941。

-Jim