일부 OU를 기반으로 사용자를 필터링하는 MS AD용 LDAP 필터를 생성하려고 합니다(제 경우에는 특정 OU를 제외하지만 포함도 작동하지 않습니다).
(&(cn=Testuser1)(|(ou:dn:=Included1)(ou:dn:=Included2)))
(&(cn=Testuser1)(!(ou:dn:=Excluded)))
작동하지 않습니다. (ou:dn:=Included1)실제 "폴더" 개체(아래에 *로 표시됨)는 나열되지만 그 아래의 사용자(ou가 포함된 DN 포함)는 나열되지 않는지 테스트했습니다 . 여러 항목을 찾아야 하기 때문에 검색 기반을 사용할 수 없습니다.
ou=Included1,dc=example,dc=com *
cn=Testuser1,ou=Included1,dc=example,dc=com +
ou=Included2,dc=example,dc=com
cn=Testuser1,ou=Included2,dc=example,dc=com +
ou=Excluded,dc=example,dc=com
cn=Testuser1,ou=Excluded,dc=example,dc=com -
위의 두 가지 예제 필터에서 Testuser1 항목 3개(-로 표시)가 아닌 2개(+로 표시)를 찾고 싶습니다.
그러나 실제로는 아무것도 일치하지 않습니다. 실제 사용자 항목에는 필터링할 수 있는 속성에 다른 차이점이 없습니다.
ou:dn:=" " 구문은 이름 구성 요소가 원하는 구성 요소인 개체만 찾는 것이지 어떤 것도 찾지 않는 것 같은 느낌이 듭니다 ...?
답변1
부정적인 OU= 구성요소 필터는 구성된 속성이기 때문에 Microsoft LDAP에서 작동하지 않는 것 같습니다(링크의 @세미콜론 덕분에).
그러나 다음과 같은 전체 속성 값을 사용하면 작동합니다.
(&(CN=%u)(!(distinguishedName=CN=%u,OU=Excluded,dc=example,dc=com)))