3

私はこれに似たドメイン構造を持っています:

DC=us,DC=earth,DC=com
DC=uk,DC=earth,DC=com
DC=au,DC=earth,DC=com

各ドメインには、ユーザー OU とグループ OU があります。

各ドメインには (us,uk,au) 01 から 10 のユーザー (us01、us02、....、uk01、uk02、....、au01、au02..) がいます。

グループがあります:

cn=group1,ou=groups,DC=uk,DC=earth,DC=com

us01、uk01、および au01 は、

cn=group1,ou=groups,DC=uk,DC=earth,DC=com.

のすべてのメンバーを返すために LDAP クエリを実行しようとしています。

cn=group1,ou=groups,DC=uk,DC=earth,DC=com

私は、「DC=earth,DC=com」のベース DN とフィルター付きを信じていました。

memberof=cn=group1,ou=groups,DC=uk,DC=earth,DC=com" 

SUBTREE レベルのスコープでは機能するはずですが、そうではありません。

私は何を間違っていますか?出来ますか?

JXplorer を使用してテストしています。

さらに、ローカル ドメインに含まれるオブジェクトのみを照会/返すことができます。つまり、earth.com を BASE DN として使用すると、返される地球ドメインのオブジェクトしか「見る」ことができません。サブドメインを横断することはできないようです。これは正常ですか?

また、兄弟ドメインのオブジェクトも表示できません。つまり、au ドメインを BASE DN として使用している場合、英国のユーザーが表示されません。BASE DN はサブツリーに AD オブジェクトを「表示」できるようにする必要があるため、これは正しいと思います。これは正しいです?

4

3 に答える 3

2

別々のドメイン内にいるため、紹介を追跡できる必要があります。私はJxplorerの機能と、紹介を自動追跡できるかどうかを知りません。

そして、Tim Aが言ったように、到達しようとしているすべてのコンテキストにアクセスするための適切な権限があることを確認する必要があります。-ジム

于 2012-12-11T08:58:48.330 に答える
2

フィルターに返したい属性を含めているようです。cn=group1,ou=groups,DC=uk,DC=earth,DC=comのスコープBASEと のフィルターを使用して、ベースとして使用してみてください(*objectclass=*)(これにより、クエリしようとしているグループに直接アクセスできます)。次に、検索によって返されたエントリから、メンバーのリストを含む属性を取得します。

トラバースできるサブドメインに関する限り、それはツリーに適用される ACL (アクセス制御リスト) に依存するか、Jxplorer の奇妙さである可能性があります。IMO、Jxplorerはジャンクです。

はい、使用しているツールに関係なく、BASE DN として定義したものより下のエントリしか表示できません。

于 2012-12-10T23:09:00.797 に答える