Ich habe OpenLDAP so konfiguriert, dass es über ein Meta-Backend als Proxy-Server fungiert, um Remote-Abfragen an die Active Directory-Server von zwei verschiedenen Unternehmen zu stellen. Beim Abrufen von Informationen aus beiden Domänen funktioniert alles einwandfrei. Allerdings ... haben wir einen Fall, in dem zwei gleiche sAMAccountname abgerufen werden, was bei einer der von uns verwendeten Webanwendungen zu Problemen führt. (Die Webanwendung erfordert eine Suchbasis, weshalb ich mich für eine Metalösung entscheide.)
Hier ist meine Konfiguration
database meta
suffix "dc=example,dc=com"
rootdn "cn=admin,dc=example,dc=com"
rootpw "supers3cr3tpass"
conn-ttl 3600
access to * by * auth
sizelimit 1
uri "ldap://<companyA>/dc=example,dc=com"
readonly yes
lastmod off
suffixmassage "dc=example,dc=com" "dc=companyA,dc=com"
map attribute uid sAMAccountName
idassert-bind bindmethod=simple
binddn="CN=UserA,DC=companyA,DC=corp"
credentials="something"
idassert-authzFrom "*"
idle-timeout 300
keepalive 180:3:60
network-timeout 5
timeout 10
uri "ldap://companyB/dc=example,dc=com"
readonly yes
lastmod off
suffixmassage "dc=example,dc=com" "dc=companyB,dc=com"
map attribute uid sAMAccountName
idassert-bind bindmethod=simple
binddn="CN=UserB,DC=companyB,DC=com"
credentials="dontknow"
idassert-authzFrom "*"
idle-timeout 300
keepalive 180:3:60
network-timeout 5
timeout 10
Ich weiß, dass es eine Größenbeschränkungsklausel gibt, mit der Sie die Suchanfrage begrenzen können, aber diese gilt nicht für den Root-DN, den ich für die Suchvorgänge/Bindungen verwende.
Ich frage mich...
- Gibt es eine Möglichkeit, nur ein Ergebnis der Suchanfrage zurückzugeben?
- Kann ich zum Binden und Nachschlagen ein anderes Konto verwenden, dessen DN mit dc=example,dc=com endet? Theoretisch sollte dies die Größenbeschränkungsklausel anwenden.
Jeder Rat und jede Antwort ist willkommen.
Dank im Voraus!