Из-за особенностей взаимодействия используемого нами программного обеспечения с Unix при настройке определенного приложения для взаимодействия с LDAP мне необходимо использовать атрибуты Posix вместо обычных атрибутов LDAP.
Пока что все, что я нашел, это то, что for authentication.ldap.groupObjectClassI должен использовать posixgroupвместо groupи for authentication.ldap.userObjectClassI должен использовать posixuserвместо user.
Мой вопрос в том, что насчет таких вещей, как authentication.ldap.groupMembershipAttrто, что я должен установить memberили authentication.ldap.usernameAttributeчто я установил sAMAccountName. Есть ли способ запросить мою схему LDAP, чтобы увидеть мои варианты для этих настроек?
Извините, если это нелепый вопрос. Я администратор Hadoop и в основном взаимодействую с Unix, поэтому у меня нет большого опыта работы с LDAP, так что мне определенно не хватает понимания.
Позвольте мне попытаться дать больше подробностей. Мы настраиваем LDAP Proxy, и в настоящее время в нем есть ошибка, которую нужно обойти, чтобы использовать информацию posix.
Например, если я использую следующий фильтр поиска, (&(objectCategory=group)(sAMAccountName=groupname))то иногда для членов выводится GUID,SID и путь CN/OU вместо просто CN=User,OU=my,OU=container,DC=my,DC=domain
Если я использую фильтр поиска (&(objectclass=Posixgroup)(cn=groupname)), единственное, что попадает, это правильный путь CN/OU/DC, и ошибка не встречается. По сути, я пытаюсь обновить Ambari (службу управления Hadoop) для использования правильных настроек LDAP, которые отражают то, что используется в этом фильтре поиска, поэтому при синхронизации пользователей синхронизация не столкнется с ошибкой и не завершится ошибкой.
Текущие атрибуты и значения пользователя/группы
authentication.ldap.baseDn=DC=my,DC=domain,DC=com
authentication.ldap.bindAnonymously=false
authentication.ldap.dnAttribute=DC=my,DC=domain,DC=com
authentication.ldap.groupMembershipAttr=memberUid
authentication.ldap.groupNamingAttr=cn
authentication.ldap.groupObjectClass=posixgroup
authentication.ldap.managerDn=CN=username,OU=Application Accounts,DC=my,DC=domain,DC=com
authentication.ldap.managerPassword=/path/to/file
authentication.ldap.pagination.enabled=false
authentication.ldap.primaryUrl=my.ldap.proxy:389
authentication.ldap.referral=follow
authentication.ldap.secondaryUrl=my.ldap.proxy:389
authentication.ldap.useSSL=false
authentication.ldap.userObjectClass=posixuser
authentication.ldap.usernameAttribute=cn
Пример групповой строки LDAP
CN=MYGROUP,OU=Groups,DC=my,DC=domain,DC=com
Пример строки LDAP пользователя
cn=username,ou=northamerica,ou=user accounts,dc=my,dc=domain,dc=c om
решение1
LDAP — это довольно сложная штука, поэтому, не зная точно, что представляет собой ваш сервер каталогов или для какого приложения он предназначен, мы не сможем порекомендовать вам именно то, что вам нужно, но вы можете попробовать и cnто authentication.ldap.usernameAttribute, и memberUidдругое.authentication.ldap.groupMembershipAttr