ldapsearch は「成功」を返しますが、グループのデータがありません

ldapsearch は「成功」を返しますが、グループのデータがありません

私は LDAP の専門家ではありません。グループのメンバーシップを決定するために ldapsearch を実行する必要があります... これについて調べ、ユーザー情報を表示する単純な ldapsearch を実行することに成功しました... そこで、グループの "memberOf" クエリを作成しようとしましたが、うまくいきませんでした... クエリを実行すると、"成功" と表示されますが、データは返されません。 これを多数のグループで試したので、クエリ対象のグループにメンバーがいることは確かです... 一度もデータが返されたことはありません... 私が実行している最新のクエリは次のとおりです:

./ldapsearch \
           -h one.two.three.com \
           -b dc=one,dc=two,dc=three,dc=com \
           -D  'XX-Sub\myuid'   \
           -w 'pswdxxx'                             \
  "(&(objectCategory=user)(memberOf=DN=dba_grp))" \
   distinguishedName

LDAP 情報 (objectclass=*) をダンプしましたが、省略しているものなどはありません。ただし、ドメイン、サブドメインなどの意味については詳しくありません (つまり、LDAP の観点からは意味しますが、LDAP 以外での意味は知っています)。必要な場合は、構成設定のサニタイズされたバージョンなどを投稿できますが、実際の名前のリンクなどを投稿することはできません (誰もが知っていると思います)。私は本当に自分でこれを解決しようとしており、何日も取り組んでいます...まだ掲示板などを検索していますが、誰かが問題に集中するのを手伝ってくれれば、少なくとも正しい方向に向かっていると少し自信が持てると思います...どうもありがとうございます...

答え1

少なくとも AD 内の「memberOf」は、distinguishedNames のリストのように保存されます。

これを試してみるといいかもしれません:

(&(objectCategory=user)(memberOf=cn=MyCustomGroup,ou=Groups,dc=one,dc=two,dc=three,dc=com))

また、ほとんどの AD ではバインド DN に対してのみクエリを発行できるため、バインド DN にすべてのディレクトリに対して読み取りクエリを発行する権限があることを確認する必要があります。

関連情報