TL;DR: ¿Cómo configurar ejabberd para permitir solo algunos miembros del grupo Active Directory?
Hola,
Después de haber configurado con éxito un servicio ejabberd conectado a nuestro AD, me gustaría limitar los usuarios permitidos a un grupo específico.
Mi configuración de trabajo es:
auth_method: [ldap]
ldap_servers:
- 1.2.3.4
- 1.2.3.5
ldap_uids:
mail: "%[email protected]"
ldap_base: "OU=FON,OU=Domain,OU=Global,DC=domain,DC=lan"
ldap_rootdn: "CN=someone,CN=Users,DC=domain,DC=lan"
ldap_password: "secret"
Esto está funcionando bien tal como está.
Los usuarios se almacenan en:
"OU=Utilisateurs,OU=FON,OU=Domain,OU=Global,DC=domain,DC=lan"
pero los grupos se almacenan en otra OU:
"OU=Securite,OU=Groupes,OU=FON,OU=Domain,OU=Global,DC=domain,DC=lan"
Me gustaría agregar un filtro para permitir solo usuarios contenidos en un grupo definido en otra unidad organizativa.
Al intentar agregar el filtro a continuación,ceroEl usuario del grupo permitido puede conectarse:
ldap_filter:
(&(objectCategory=group)(CN=GG_XMPP_USERS,OU=Securite,OU=Groupes,OU=FON,OU=Domain,OU=Global,DC=domain,DC=lan))
Sin éxito, también probé una sintaxis similar a la siguiente:
(&(objectclass=group)(|(cn=admingroup)(cn=group1)(cn=group2)))
En Active Directory, los objetos de usuario no tienen ningún atributo "memberOf" que se pueda consultar.
Entonces, ¿cuál es el camino correcto a seguir?