通常の LDAP の代わりに posix 属性を使用しますか?

私たちが使用するソフトウェアが Unix と対話する方法のため、特定のアプリケーションを LDAP と対話するように設定する場合、通常の LDAP 属性ではなく Posix 属性を使用する必要があります。

これまでのところ、 については の代わりにauthentication.ldap.groupObjectClassを使用し、については の代わりにを使用する必要があるということがわかっています。posixgroupgroupauthentication.ldap.userObjectClassposixuseruser

authentication.ldap.groupMembershipAttr私の質問は、 を設定する必要があるmember、またはauthentication.ldap.usernameAttributeに設定したことなどについてですsAMAccountName。これらの設定のオプションを確認するために LDAP スキーマを照会する方法はありますか?

馬鹿げた質問だったらすみません。私は Hadoop 管理者で、主に Unix を扱っているので、LDAP の経験はあまりなく、理解が不足しているのは確かです。

もう少し詳しく説明します。LDAP プロキシを設定していますが、現在バグがあり、POSIX 情報を使用する回避策があります。

たとえば、次の検索フィルターを使用すると(&(objectCategory=group)(sAMAccountName=groupname))、メンバーに対して、CN=User、OU=my、OU=container、DC=my、DC=domain だけではなく、GUID、SID、CN/OU パスが出力されることがあります。

検索フィルターを使用すると(&(objectclass=Posixgroup)(cn=groupname))、正しい CN/OU/DC パスのみが見つかり、バグは発生しません。基本的に、この検索フィルターで使用されている内容を反映する正しい LDAP 設定を使用するように Ambari (Hadoop の管理サービス) を更新しようとしています。これにより、ユーザーが同期されるときに、同期でバグが発生して失敗することがなくなります。

現在のユーザー/グループの属性と値

authentication.ldap.baseDn=DC=my,DC=domain,DC=com
authentication.ldap.bindAnonymously=false
authentication.ldap.dnAttribute=DC=my,DC=domain,DC=com
authentication.ldap.groupMembershipAttr=memberUid
authentication.ldap.groupNamingAttr=cn
authentication.ldap.groupObjectClass=posixgroup
authentication.ldap.managerDn=CN=username,OU=Application Accounts,DC=my,DC=domain,DC=com
authentication.ldap.managerPassword=/path/to/file
authentication.ldap.pagination.enabled=false
authentication.ldap.primaryUrl=my.ldap.proxy:389
authentication.ldap.referral=follow
authentication.ldap.secondaryUrl=my.ldap.proxy:389
authentication.ldap.useSSL=false
authentication.ldap.userObjectClass=posixuser
authentication.ldap.usernameAttribute=cn

グループLDAP文字列の例

CN=MYGROUP,OU=Groups,DC=my,DC=domain,DC=com

ユーザーLDAP文字列の例

cn=username,ou=northamerica,ou=user accounts,dc=my,dc=domain,dc=c om