大手国際企業では、3 か国にわたるソフトウェア開発を容易にするために、いくつかのオンライン ツールへの認証に AD を使用する必要があります。
ツールの AD/LDAP セクションには、BASE DN を指定する行が 1 つと、ユーザー フィルターを適用する行がもう 1 つあります。
デフォルトのユーザー フィルターは次のとおりです: (&(objectCategory=Person)(sAMAccountName=*))
連絡を取る必要がある人々は、次の AD の場所にいます:
- MyCompany.com/AAA/EMA/RS/オーフス/アカウント
- MyCompany.com/BBB/AMR/RS/アトランタ/アカウント
- MyCompany.com/CCC/AP/COR/西安/アカウント
各アカウント エントリには 4 ~ 5 つのより深いレイヤーが含まれており、それらすべてのユーザーが必要です。
BASE DNを次のように設定するとDC=MyCompany、DC=com(そうあるべきだと私は思っています) 返されたユーザーは 250000 人以上で、そのうちアクセスできるのは 2000 人程度だけです。:-( 私のツールはエントリをキャッシュするので、同期にかなり時間がかかります。:-(
より具体的なフィルターを使用して、場所をより具体的にターゲットにしたいと思います。
あらゆることを試し、あちこち検索し、ツール開発者と IT 部門の両方にその方法について問い合わせましたが、実際に使えるものは何も見つかりませんでした。
フィルターは次のようなものであるべきだと私は考えています。ただし、memberOfはAD内の階層の場所ではなく、グループのメンバーシップをチェックするものであることはわかっています。
(&(objectCategory=Person)(sAMAccountName=*)
(|
(memberOf:=OU=Accounts,OU=Aarhus,OU=RS,OU=EMA,OU=AAA,DC=MyCompany,DC=com)
(memberOf:=OU=Accounts,OU=Atlanta,OU=RS,OU=AMR,OU=BBB,DC=MyCompany,DC=com)
(memberOf:=OU=Accounts,OU=Xian,OU=COR,OU=AP,OU=CCC,DC=MyCompany,DC=com)
)
)
明確にしておくと、アクセス権を持つべきすべての人々とサブロケーションのグループを作成 (および最新の状態に保つ) することは不可能です。
皆様のご提案を心よりお待ちしております。
注: これは私にとって AD/LDAP を初めて知る機会なので、この説明で何かを見落としている可能性があります。空欄を埋めてみてください。ありがとうございます。