我想编写一个LDAP查询来测试用户(sAMAccountName)是否是特定组的成员.有可能这样做,以便我得到0或1结果记录?
我想我可以为用户获取所有组并测试每个组的匹配,但我想知道是否可以将其打包到一个LDAP表达式中.
有任何想法吗?
谢谢
mar*_*c_s 165
您应该可以在此处使用此过滤器创建查询:
(&(objectClass=user)(sAMAccountName=yourUserName)
(memberof=CN=YourGroup,OU=Users,DC=YourDomain,DC=com))
当你对LDAP服务器运行时,如果你得到一个结果,你的用户"yourUserName"确实是"CN = YourGroup,OU = Users,DC = YourDomain,DC = com"组的成员
试试看看是否有效!
如果你使用C#/ VB.Net和System.DirectoryServices,这个代码片段可以解决这个问题:
DirectoryEntry rootEntry = new DirectoryEntry("LDAP://dc=yourcompany,dc=com");
DirectorySearcher srch = new DirectorySearcher(rootEntry);
srch.SearchScope = SearchScope.Subtree;
srch.Filter = "(&(objectClass=user)(sAMAccountName=yourusername)(memberOf=CN=yourgroup,OU=yourOU,DC=yourcompany,DC=com))";
SearchResultCollection res = srch.FindAll();
if(res == null || res.Count <= 0) {
Console.WriteLine("This user is *NOT* member of that group");
} else {
Console.WriteLine("This user is INDEED a member of that group");
}
注意事项:这只会测试直接的组成员身份,并且不会测试域中所谓的"主要组"(通常为"cn = Users")的成员身份.它不处理嵌套成员资格,例如,用户A是作为B组成员的A组成员 - 事实上用户A实际上是B组的成员,这里也没有反映出来.
渣
小智 35
如果您使用的是Linux服务器上常见的OpenLDAP(即slapd),则必须启用memberof overlay才能使用(memberOf = XXX)属性与过滤器匹配.
此外,一旦启用了叠加层,它就不会更新现有组的memberOf属性(您需要删除现有的组并重新添加它们).如果您启用了覆盖,那么当数据库为空时,您应该没问题.
小智 10
您必须将查询库设置为相关用户的DN,然后将过滤器设置为您想知道他们是否是其成员的组的DN.要查看jdoe是否是office组的成员,那么您的查询将如下所示:
ldapsearch -x -D "ldap_user" -w "user_passwd" -b "cn=jdoe,dc=example,dc=local" -h ldap_host '(memberof=cn=officegroup,dc=example,dc=local)'
如果您想查看他所属的所有群组,只需在搜索中仅请求"memberof"属性,如下所示:
ldapsearch -x -D "ldap_user" -w "user_passwd" -b "cn=jdoe,dc=example,dc=local" -h ldap_host **memberof**
| 归档时间: |
|
| 查看次数: |
454015 次 |
| 最近记录: |