ldapsearch gibt „Erfolg“ zurück, aber keine Daten für Gruppen

ldapsearch gibt „Erfolg“ zurück, aber keine Daten für Gruppen

Ich bin kein LDAP-Experte. Ich muss eine LDAP-Suche ausführen, um die Mitgliedschaft in einer Gruppe zu ermitteln. Ich habe mich darüber informiert und konnte erfolgreich eine einfache LDAP-Suche ausführen, die Benutzerinformationen anzeigt. Also habe ich versucht, eine Gruppenabfrage „memberOf“ zu erstellen. Kein Erfolg. Ich führe die Abfrage aus, sie zeigt „erfolgreich“ an, gibt aber keine Daten zurück. Ich habe dies mit VIELEN Gruppen versucht, daher bin ich sicher, dass die Gruppe, die ich abfrage, Mitglieder hat. Nicht ein einziges Mal wurden mir Daten zurückgegeben. Hier ist die letzte Abfrage, die ich ausführe:

./ldapsearch \
           -h one.two.three.com \
           -b dc=one,dc=two,dc=three,dc=com \
           -D  'XX-Sub\myuid'   \
           -w 'pswdxxx'                             \
  "(&(objectCategory=user)(memberOf=DN=dba_grp))" \
   distinguishedName

Ich habe LDAP-Informationen (objectclass=*) ausgegeben und sehe nichts, was ich auslasse usw., aber ich bin nicht so bewandert darin, was manche Dinge bedeuten, wie z. B. Domäne, Subdomäne usw. (d. h., was sie aus LDAP-Sicht bedeuten, ich weiß, was sie außerhalb von LDAP bedeuten). Bei Bedarf könnte ich eine bereinigte Version der Konfigurationseinstellungen oder was auch immer posten, aber ich kann keine Links mit echten Namen usw. posten (ich bin sicher, das weiß jeder). Ich habe wirklich versucht, das selbst zu lösen, und bin jetzt schon seit Tagen dabei ... Ich durchsuche immer noch Foren usw., wäre aber froh, wenn mir jemand helfen könnte, mich auf das Problem zu konzentrieren, damit ich etwas sicherer sein kann, dass ich zumindest in die richtige Richtung gehe ... Vielen Dank ...

Antwort1

„memberOf“ wird zumindest in AD wie eine Liste mit DistinguishedNames gespeichert.

Sie können Folgendes versuchen:

(&(objectCategory=user)(memberOf=cn=MyCustomGroup,ou=Groups,dc=one,dc=two,dc=three,dc=com))

Außerdem sollten Sie sicherstellen, dass Ihr Bind-DN ​​über die Berechtigung verfügt, Leseabfragen an alle Verzeichnisse zu senden, da Sie bei den meisten AD-Verzeichnissen nur Abfragen an Ihren Bind-DN ​​senden können.

verwandte Informationen