Aufgrund der Art und Weise, wie die von uns verwendete Software mit Unix interagiert, muss ich beim Einrichten einer bestimmten Anwendung für die Interaktion mit LDAP Posix-Attribute anstelle normaler LDAP-Attribute verwenden.
Bisher habe ich nur herausgefunden, dass authentication.ldap.groupObjectClassich für posixgroupanstelle von groupund für anstelle von authentication.ldap.userObjectClassverwenden muss .posixuseruser
Meine Frage ist, was ist mit Dingen wie „ authentication.ldap.groupMembershipAttrwas muss ich einstellen auf“ memberoder authentication.ldap.usernameAttribute„was habe ich eingestellt auf“ sAMAccountName? Gibt es eine Möglichkeit, mein LDAP-Schema abzufragen, um meine Optionen für diese Einstellungen anzuzeigen?
Entschuldigen Sie, wenn das eine lächerliche Frage ist. Ich bin ein Hadoop-Administrator und arbeite hauptsächlich mit Unix, daher habe ich nicht viel Erfahrung mit LDAP, sodass es mir definitiv an Verständnis mangelt.
Ich möchte versuchen, etwas mehr Details anzugeben. Wir richten einen LDAP-Proxy ein und dieser weist derzeit einen Fehler auf, der die Umgehung durch die Verwendung von POSIX-Informationen betrifft.
Wenn ich beispielsweise den folgenden Suchfilter verwende, (&(objectCategory=group)(sAMAccountName=groupname))wird gelegentlich ein GUID-, SID- und CN/OU-Pfad für die Mitglieder ausgegeben, anstatt nur CN=User,OU=my,OU=container,DC=my,DC=domain
Wenn ich den Suchfilter verwende (&(objectclass=Posixgroup)(cn=groupname)), wird nur der richtige CN/OU/DC-Pfad angezeigt und der Fehler tritt nicht auf. Im Wesentlichen versuche ich, Ambari (Verwaltungsdienst von Hadoop) zu aktualisieren, damit die richtigen LDAP-Einstellungen verwendet werden, die widerspiegeln, was in diesem Suchfilter verwendet wird, sodass beim Synchronisieren von Benutzern der Fehler nicht auftritt und die Synchronisierung fehlschlägt.
Aktuelle Benutzer-/Gruppenattribute und -werte
authentication.ldap.baseDn=DC=my,DC=domain,DC=com
authentication.ldap.bindAnonymously=false
authentication.ldap.dnAttribute=DC=my,DC=domain,DC=com
authentication.ldap.groupMembershipAttr=memberUid
authentication.ldap.groupNamingAttr=cn
authentication.ldap.groupObjectClass=posixgroup
authentication.ldap.managerDn=CN=username,OU=Application Accounts,DC=my,DC=domain,DC=com
authentication.ldap.managerPassword=/path/to/file
authentication.ldap.pagination.enabled=false
authentication.ldap.primaryUrl=my.ldap.proxy:389
authentication.ldap.referral=follow
authentication.ldap.secondaryUrl=my.ldap.proxy:389
authentication.ldap.useSSL=false
authentication.ldap.userObjectClass=posixuser
authentication.ldap.usernameAttribute=cn
Beispiel für eine LDAP-Gruppenzeichenfolge
CN=MYGROUP,OU=Groups,DC=my,DC=domain,DC=com
Beispiel für eine LDAP-Benutzerzeichenfolge
cn=username,ou=northamerica,ou=user accounts,dc=my,dc=domain,dc=c om
Antwort1
LDAP ist eine etwas komplizierte Sache. Ohne genau zu wissen, was Ihr Verzeichnisserver ist oder für welche Anwendung er gedacht ist, ist es etwas umfangreich, Ihnen genau das zu empfehlen, was Sie brauchen. Sie könnten es aber cnfür authentication.ldap.usernameAttributeund memberUidfür versuchen.authentication.ldap.groupMembershipAttr