那些遇到过的问题

为什么不能将 inetOrgPerson 与 groupOfNames 一起使用?

cod*_*ero 6 ldap apache-ds

我正在尝试在 LDAP 中创建一个用户,该用户使用对象类 inetOrgPerson 和 groupOfNames(因此我可以使用属性“成员”),但无论我尝试哪种组合,它都不会让我。使用“成员”属性的正确方法是什么?

这是我尝试通过 Apache Directory Studio 添加它时收到的错误消息。

Error while creating entry
 - [LDAP: error code 65 - OBJECT_CLASS_VIOLATION: failed for MessageType : ADD_REQUES
  java.lang.Exception: [LDAP: error code 65 - OBJECT_CLASS_VIOLATION: failed for MessageType : ADD_REQUEST
Message ID : 113
    Add Request :
Entry
    dn[n]: uid=sadsadsadadad@test.com,o=test,ou=tenant,dc=test,dc=com
    objectClass: groupOfNames
    objectClass: organizationalPerson
    objectClass: person
    objectClass: top
    objectClass: inetOrgPerson
    uid: sadsadsadadad@test.com
    member: cn=user,ou=role,dc=test,dc=com
    sn: sadsadsad
    cn: sdsadsad
: ERR_61 Entry uid=sadsadsadadad@test.com,o=test,ou=tenant,dc=test,dc=com contains more than one STRUCTURAL ObjectClass: [OBJECT_CLASS ( 2.5.6.9
 NAME 'groupOfNames'
 DESC RFC2256: a group of names (DNs)
 SUP 'top'
 STRUCTURAL
 MUST ( 'cn' $ 'member' )
 MAY ( 'businessCategory' $ 'seeAlso' $ 'owner' $ 'ou' $ 'o' $ 'description' )
 )
, OBJECT_CLASS ( 2.16.840.1.113730.3.2.2
 NAME 'inetOrgPerson'
 DESC RFC2798: Internet Organizational Person
 SUP 'organizationalPerson'
 STRUCTURAL
 MAY ( 'audio' $ 'businessCategory' $ 'carLicense' $ 'departmentNumber' $ 'displayName' $ 'employeeNumber' $ 'employeeType' $ 'givenName' $ 'homePhone' $ 'homePostalAddress' $ 'initials' $ 'jpegPhoto' $ 'labeledURI' $ 'mail' $ 'manager' $ 'mobile' $ 'o' $ 'pager' $ 'photo' $ 'roomNumber' $ 'secretary' $ 'uid' $ 'userCertificate' $ 'x500UniqueIdentifier' $ 'preferredLanguage' $ 'userSMIMECertificate' $ 'userPKCS12' )
 )
]]
    at org.apache.directory.studio.connection.core.io.api.DirectoryApiConnectionWrapper.checkResponse(DirectoryApiConnectionWrapper.java:1280)
    at org.apache.directory.studio.connection.core.io.api.DirectoryApiConnectionWrapper.access$600(DirectoryApiConnectionWrapper.java:109)
    at org.apache.directory.studio.connection.core.io.api.DirectoryApiConnectionWrapper$6.run(DirectoryApiConnectionWrapper.java:928)
    at org.apache.directory.studio.connection.core.io.api.DirectoryApiConnectionWrapper.runAndMonitor(DirectoryApiConnectionWrapper.java:1175)
    at org.apache.directory.studio.connection.core.io.api.DirectoryApiConnectionWrapper.checkConnectionAndRunAndMonitor(DirectoryApiConnectionWrapper.java:1109)
    at org.apache.directory.studio.connection.core.io.api.DirectoryApiConnectionWrapper.createEntry(DirectoryApiConnectionWrapper.java:950)
    at org.apache.directory.studio.ldapbrowser.core.jobs.CreateEntryRunnable.createEntry(CreateEntryRunnable.java:224)
    at org.apache.directory.studio.ldapbrowser.core.jobs.CreateEntryRunnable.run(CreateEntryRunnable.java:124)
    at org.apache.directory.studio.connection.ui.RunnableContextRunner$1.run(RunnableContextRunner.java:112)
    at org.eclipse.jface.operation.ModalContext$ModalContextThread.run(ModalContext.java:121)

  [LDAP: error code 65 - OBJECT_CLASS_VIOLATION: failed for MessageType : ADD_REQUEST
Message ID : 113
    Add Request :
Entry
    dn[n]: uid=sadsadsadadad@test.com,o=test,ou=tenant,dc=test,dc=com
    objectClass: groupOfNames
    objectClass: organizationalPerson
    objectClass: person
    objectClass: top
    objectClass: inetOrgPerson
    uid: sadsadsadadad@test.com
    member: cn=user,ou=role,dc=test,dc=com
    sn: sadsadsad
    cn: sdsadsad
: ERR_61 Entry uid=sadsadsadadad@test.com,o=test,ou=tenant,dc=test,dc=com contains more than one STRUCTURAL ObjectClass: [OBJECT_CLASS ( 2.5.6.9
 NAME 'groupOfNames'
 DESC RFC2256: a group of names (DNs)
 SUP 'top'
 STRUCTURAL
 MUST ( 'cn' $ 'member' )
 MAY ( 'businessCategory' $ 'seeAlso' $ 'owner' $ 'ou' $ 'o' $ 'description' )
 )
, OBJECT_CLASS ( 2.16.840.1.113730.3.2.2
 NAME 'inetOrgPerson'
 DESC RFC2798: Internet Organizational Person
 SUP 'organizationalPerson'
 STRUCTURAL
 MAY ( 'audio' $ 'businessCategory' $ 'carLicense' $ 'departmentNumber' $ 'displayName' $ 'employeeNumber' $ 'employeeType' $ 'givenName' $ 'homePhone' $ 'homePostalAddress' $ 'initials' $ 'jpegPhoto' $ 'labeledURI' $ 'mail' $ 'manager' $ 'mobile' $ 'o' $ 'pager' $ 'photo' $ 'roomNumber' $ 'secretary' $ 'uid' $ 'userCertificate' $ 'x500UniqueIdentifier' $ 'preferredLanguage' $ 'userSMIMECertificate' $ 'userPKCS12' )
 )
]]
Run Code Online (Sandbox Code Playgroud)

HBr*_*ijn 7

技术原因是 thegroupOfNamespersonobjectClass 是互斥的。它们都是结构类但没有从属关系,使它们成为不同的 objectClass 链,并且根据RFC 4512

对象或别名条目的特征在于恰好是一个结构对象类超类链,该链具有单个结构对象类作为最下级的对象类。

一个组有成员,但一个人不是一个组,不能像一个组那样有成员。

据我所知,您通常使一个人成为组的成员,而 LDAP 服务器提供了一个内部功能来维护反向查找映射,以便轻松检索对象所属的组,如果您愿意,可以使用虚拟属性,通常是memberOf属性。ApacheDS 可能不支持这个()。

换句话说,LDAP 对象所属的组不是对象本身的属性,您甚至不应该尝试手动维护它。

  • 通常我会期望一个 `cn=group1` 而不是一个组织单位(`ou=` 通常用于在 LDAP 目录树中创建分支)并且在类似 `ou=people,dc=example 的东西中有实际的用户对象, dc=com`,在`ou=groups,dc=example,dc=ORG` 中分组对象,其中一个组对象`cn=group1,ou=groups,dc=example,dc=com` 具有一个或多个`member` 属性指向 People OU 中的用户对象,例如`member: cn=Alice,ou=people,dc=example,dc=com`。http://www.zytrax.com/images/ldap-groups.gif (2认同)
  • 按照您认为适合您的目的来组织 LDAP 目录并没有什么坏处,相反,您应该对 LDAP 进行建模以符合您的目的(也考虑委派控制权),因此 `ou=org1,dc=example,dc=com`和 `ou=org2,dc=example,dc=com` 等等,每个都有自己的 `ou=people` 和 `ou=groups` 很有意义。 (2认同)

归档时间:

查看次数:

3135 次

最近记录:

10 年,5 月 前
相关归档
如何在 Centos 6 上获取 openldap 以将任何内容写入其日志文件 12
什么是 nsswitch 兼容模式? 9
适用于 <500 个用户、4 个位置的 Active Directory OU 设计 8
Apache、Trac 和 LDAP - 如何将它们粘合在一起? 8
LDAP 用户主目录 6
如何判断 CentOS 上是否安装了 OpenLDAP,并测试它是否正常工作? 6
LDAP 密码加密(userPassword 属性) 6
如何使 AD 对于将其用作 LDAP 服务的应用程序高度可用 6
如何向现有 LDAP 用户对象添加新属性 6
持续检查 LDAP 与域控制器的连接(LDAP 心跳检查) 2
难疑归档
`cron.daily` 什么时候运行? 226
在 Linux/OSX 上的 /etc/hosts/ 文件中,如何创建通配符子域? 199
Windows 是否有用于命令行的内置 ZIP 命令? 126
证书颁发机构根证书到期和续订 124
将复杂的多行字符串写入变量的干净方法 120
如何在 Debian/Ubuntu 上确定 JAVA_HOME? 105
可以将 IIS 配置为将请求转发到另一台 Web 服务器吗? 83
bash 中两个与符号和分号的操作方式有区别吗? 71
在远程管理模式下为 Windows Server 2012(及更高版本)上的 RDP 配置自定义 SSL 证书? 59
目录 ls 中显示的问号。IO 错误 54