Я не эксперт по LDAP. Мне нужно запустить ldapsearch, чтобы определить членство в группе... Я читал об этом и успешно запустил простой ldapsearch, который отображал информацию о пользователе... поэтому я попытался создать групповой запрос "memberOf"... безрезультатно... Я запускаю запрос, он говорит "успешно", но не возвращает никаких данных.. Я пробовал это со МНОГИМИ группами, поэтому я уверен, что в группе, к которой я обращаюсь, есть участники.... Ни разу мне не вернули никаких данных... вот последний запрос, который я запускаю:
./ldapsearch \
-h one.two.three.com \
-b dc=one,dc=two,dc=three,dc=com \
-D 'XX-Sub\myuid' \
-w 'pswdxxx' \
"(&(objectCategory=user)(memberOf=DN=dba_grp))" \
distinguishedName
Я выгрузил информацию ldap (objectclass=*) и не вижу ничего, что я упускаю и т. д., но я не настолько разбираюсь в том, что означают некоторые вещи, такие как домен, поддомен и т. д. (т. е. что они означают в перспективе ldap, я знаю, что они означают за пределами ldap), если нужно, я могу опубликовать очищенную версию настроек конфигурации или что-то еще, но я не могу публиковать настоящие именованные ссылки и т. д. (я уверен, что все об этом знают). Я действительно пытался решить эту проблему самостоятельно и занимаюсь этим уже несколько дней... Я все еще ищу форумы и т. д., но был бы рад, если бы кто-то помог мне сосредоточиться на проблеме, чтобы я мог быть немного увереннее, что я, по крайней мере, двигаюсь в правильном направлении... Большое спасибо...
решение1
«memberOf» по крайней мере в AD хранится как список distinctNames.
Возможно, вам стоит попробовать это:
(&(objectCategory=user)(memberOf=cn=MyCustomGroup,ou=Groups,dc=one,dc=two,dc=three,dc=com))
Также вам может потребоваться убедиться, что у вашего привязанного DN есть права на отправку запросов на чтение для всех каталогов, так как в большинстве случаев в AD вы можете отправлять запросы только для вашего привязанного DN.