我对 LDAP 不太了解,所以我提前道歉。
我正在查看使用 LDAP 进行某些身份验证的应用程序中的错误。
客户端设置的 LDAP 目录结构包含嵌套组,如下所示:
UAT Group
DEV Group
portfolio_mangers
在 DEV 组下,我们有一些用户:
DEV Group
jsmith
cwilson
plo
用户要求身份验证将递归遍历输入组以确定用户是直接还是间接(嵌套)输入组的成员。
因此,如果我们从 UAT 组或 DEV 组开始遍历,用户 jsmith、cwilson 和 plo 将被验证。
这是可能的,对吗?从我的阅读中,我相信我必须指定一个基本名称和范围。因为我想搜索整个子树,所以我会指定一个 SUBTREE 的范围。这有意义吗?有替代品吗?
来自 LDAP 经验丰富的人的建议将是巨大的。谢谢。
您尝试配置什么应用程序。
大多数应用程序作为 LDAP 客户端都具有一定程度的 LDAP 支持,但根本不支持嵌套组。
如果不修改软件,您可能会运气不好。
如果您的 LDAP 服务器恰好是 Microsoft Active Directory,那么有一个非标准搜索过滤器可能会对您有所帮助。
请参阅: - http://support.microsoft.com/kb/914828 - http://msdn.microsoft.com/en-us/library/windows/desktop/aa746475(v=vs.85).aspx
LDAP_MATCHING_RULE_IN_CHAIN 是一个匹配规则 OID,旨在提供一种查找对象祖先的方法。许多使用 AD 和 AD LDS 的应用程序通常使用按父子关系排序的分层数据。以前,应用程序执行传递组扩展来确定组成员资格,这会占用过多的网络带宽;如果链接遍历到末端,应用程序需要进行多次往返才能确定对象是否落在“链中”。
| 归档时间: |
|
| 查看次数: |
3142 次 |
| 最近记录: |