2

Active Directory を介して認証するように bhLDAPAuthPlugin をセットアップしようとしています。認証の設定がうまくいきません。

adLDAP.php ファイルのデフォルト設定は次のとおりです。

class adLDAP {
    // BEFORE YOU ASK A QUESTION, PLEASE READ THE DOCUMENTATION AND THE FAQ
    // http://adldap.sourceforge.net/documentation.php
    // http://adldap.sourceforge.net/faq.php

    // You can set your default variables here, or when you invoke the class
    var $_account_suffix="@mydomain.local";
    var $_base_dn = "DC=mydomain,DC=local"; 

    // An array of domain controllers. Specify multiple controllers if you 
    // would like the class to balance the LDAP queries amongst multiple servers
    var $_domain_controllers = array ("dc01.mydomain.local");

    // optional account with higher privileges for searching
    // not really that optional because you can't query much as a user
    var $_ad_username=NULL;
    var $_ad_password=NULL;

    // AD does not return the primary group. http://support.microsoft.com/?kbid=321360
    // This tweak will resolve the real primary group, but may be resource intensive. 
    // Setting to false will fudge "Domain Users" and is much faster. Keep in mind though that if
    // someone's primary group is NOT domain users, this is obviously going to bollocks the results
    var $_real_primarygroup=true;

    // Use SSL, your server needs to be setup, please see - http://adldap.sourceforge.net/ldap_ssl.php
    var $_use_ssl=false;

    // When querying group memberships, do it recursively
    // eg. User Fred is a member of Group A, which is a member of Group B, which is a member of Group C
    // user_ingroup("Fred","C") will returns true with this option turned on, false if turned off
    var $_recursive_groups=false;

    // You should not need to edit anything below this line
    //******************************************************************************************

この質問は抽象的なように思えるかもしれませんが、この情報を確認するにはどうすればよいですか?

プラグインのドキュメントでは、account_suffix は接続先のドメインである必要があると書かれていますが、次のような組織などの特定のパラメーターをリストする他のドキュメントを見つけました。

account_suffix = "ou=People, o=domain.edu";

どちらを使用するかを見つけるにはどうすればよいですか?

4

1 に答える 1

1

Active Directory へのアクセス権と、Active Directory ユーザーとコンピューターを実行する権限がある場合は、これをかなり簡単に理解できます。

まず、後方互換性の理由から、AD は LDAP の dc= である「ドメイン」オブジェクトを使用します。そのため、接尾辞は dc=domain、dc=com などの形式になる可能性があります。

AD 管理者は、ユーザーをデフォルトのユーザー コンテナーに残すことを選択した可能性があります。これは、実際には cn=Users であり、予想される ou=Users ではありません。

または、ユーザー ストレージ用に一連の OU を作成しました。完全に彼ら次第です。

ADUC では、ドメイン名が一番上にあるレイアウトがルート最ノードとして表示されます。それは domain.com などになります。これは、一方の端で dc=domain, dc=com を意味します。

次に、ユーザーが保存されている場所 (または少なくともこのサービスを使用する予定のユーザー) を確認し、OU ごとに dc=domain,dc=com に ou=whatever を追加します。

于 2012-12-23T20:48:53.170 に答える