No soy un experto en LDAP. Necesito ejecutar un ldapsearch para determinar la membresía en un grupo... Leí sobre esto y logré ejecutar un ldapsearch simple, que mostraba información del usuario... así que intenté construir una consulta "memberOf" del grupo. ... no me alegro... Ejecuto la consulta, dice "éxito", pero no devuelve datos... He probado esto con MUCHOS grupos, así que estoy seguro de que hay miembros en el grupo que estoy consultando... Ni una sola vez me han devuelto datos... aquí está la última consulta que estoy ejecutando:
./ldapsearch \
-h one.two.three.com \
-b dc=one,dc=two,dc=three,dc=com \
-D 'XX-Sub\myuid' \
-w 'pswdxxx' \
"(&(objectCategory=user)(memberOf=DN=dba_grp))" \
distinguishedName
He descartado información de ldap (objectclass=*) y no veo nada que esté omitiendo, etc. pero no estoy tan versado en lo que significan algunas cosas, como dominio, subdominio, etc. (es decir, lo que significan en perspectiva ldap, sé lo que significan fuera de ldap) si fuera necesario, podría publicar una versión depurada de los ajustes de configuración, o lo que sea, pero no puedo publicar enlaces con nombres reales, etc. (Estoy seguro de que todo el mundo lo sabe). Realmente he tratado de resolver esto por mi cuenta y he estado en esto durante días... Todavía estoy buscando foros, etc., pero me encantaría si alguien pudiera ayudarme a concentrarme en el problema, para poder ser un un poco más seguro de que al menos voy en la dirección correcta... Muchas gracias...
Respuesta1
"memberOf" al menos en AD se almacena como una lista de nombres distinguidos.
quizás quieras probar esto:
(&(objectCategory=user)(memberOf=cn=MyCustomGroup,ou=Groups,dc=one,dc=two,dc=three,dc=com))
También es posible que desee asegurarse de que su DN de enlace tenga derechos para emitir consultas de lectura en todos los directorios, ya que en la mayoría de AD solo puede emitir consultas en su DN de enlace.