問題タブ [active-directory-group]

ユーザー johnsmith がアクティブ ディレクトリ グループ MyManagers のメンバーであるとします。グループ MyManagers がグループ MyEmployees のメンバーであるとします。グループ MyEmployees がグループ MyUsers のメンバーであるとします。

johnsmith がアプリケーションにログインしたとき、彼がグループ MyUsers のメンバーであることをどのように知ることができますか?

C# の例を高く評価します。

ありがとう、クルヴィ

Glassfish 3.1 に ldapRealm を実装しようとしています。次の構成で問題なくログインできますが、AD のグループ メンバーシップを正しく取得できませんでした。(AD) ldap Realm のグループ メンバーシップに従って追加しましgroup-search-filterたが、まだ機能していません。
ここに私の web.xml があります:

また、次のオプションを server-config > JVM に追加します

Glassfish のログ エントリ:

見つかったグループ メンバーシップが空であることに注意してください。さらに情報が必要な場合はお知らせください。

WPFアプリケーションがあります。ユーザーのADグループメンバーシップに基づいて、アプリケーションへのアクセスを制限したいと思います。

これを各ビューの属性として、またはユーザーがアプリケーションを起動するときのチェックとして実行できますか？

任意のコード例をいただければ幸いです。

簡単なタスクで問題が発生しました...ローカル管理者グループに属していないユーザーを見つけて削除します...

これはエラーを返します：

しかし、Administrators グループを列挙すると、十分な DOMAIN\Domain Users がメンバーであることを確認してください... そうしないと、Remove_BadUsers 関数が呼び出されません。私が見逃している何かがあるに違いありませんが、それを理解することはできません。

現在のユーザーがActiveDirectoryグループのメンバーであるかどうかを確認する必要があります。私は以下のように現在のユーザーを取得することから始めました。ここで、このCurrentUserがアクティブディレクトリグループ「CustomGroup」にあることを確認する方法を知りたいです。

セキュリティトークン内のすべてのグループのタイプを確認したいと思います。S.DS（またはS.SD.AMまたはS.DS.P）を使用してADで検索することにより、これを行う方法を知っています。正確にパフォーマンスが高くないため、ADSIへの160回の呼び出しを伴わない他の方法はありますか？:-)

コンテクスト

LDAPサーバーからアプリケーションにメンバーをインポートするときに、グループメンバーシップフィルタリングを追加します。

（以前は、特定のldap「ベースDN」からすべてのメンバーをインポートしました。現在、管理者は特定のグループ、つまりベースDNのメンバー「Sales」と「HR」に制限できます）。

私たちのアプリケーションは以下をサポートします：

• SunONE

• Active Directory

また、動的グループではなく、静的グループのみをサポートする予定です。

どのようにそれをしただろうか

以前は、2つのルックアップを使用して、この新しい機能のためにメンバーをデータベースに複製していました。

1. baseDNのすべてのメンバーを検索します
2. グループ名がリストに含まれているすべてのグループ（メンバーを含む）を検索します（例：「Sales」または「HR」）。「どのユーザーがどのグループに属しているか」、つまり「グループメンバー」属性（SunONEでは「uniqueMember」、ActiveDirectoryでは「member」）を使用して、マップを介してプログラムで追跡します。
3. ＃1と＃2の結果を交差させて、「メンバーにインポート」を取得します

MemberOf / IsMemberOfはクエリとロジックを減らすことができますか？

簡単なインターネット調査で、SunONEとActiveDirectoryには、「このユーザーが属するグループ」を識別する属性（isMemberOf / memberOf）があることがわかりました。

理論的には、上記のロジックを1つのLDAPクエリに簡略化できます。

1. いずれかのグループのメンバーであるbaseDNのすべてのメンバーを検索します

MemberOf / IsMemberOfはクエリとロジックを減らすことができますか？

問題を知っている：-memberOf /isMemberOfは静的グループのみをサポートします-ネストされたグループはサポートしません

質問

• memberOf / IsMemberOfを使用したこのアプローチは機能しますか？
• 注意点はありますか？
• OpenLDAPや他のサーバーはどうですか？それらはすべてそのような属性をサポートしていますか？（OpenLDAPにはmemberOf "overlay"があるようですが、管理者は明示的に有効にする必要があります）

参照

SunOne： http ://docs.oracle.com/cd/E19575-01/820-2763/bcajq/index.html

Active Directory： http: //msdn.microsoft.com/en-us/library/ms677943.aspx

関連するSOの質問： ユーザーがグループのメンバーであるかどうかをテストするためのLDAPクエリを作成するにはどうすればよいですか？

LDAPのmemberOfとgroupMembership（Liferay）

ローカル Active Directory に対してユーザーを認証しようとしています。サイトへのアクセスが許可されているすべてのユーザーは、AD の特定のセキュリティ グループの一部です。

ウェブ構成は次のようになります。

この構成では、ブラウザーに HTTP エラー 401.1 が表示されます。

私が欠けているものについて何か提案があれば、それは大きな助けになるでしょう. さらに情報が必要な場合は、お尋ねください。

ユーザーがグループのメンバーであるかどうかを確認するコードがあります。ログイン時にこれを使用しています。

ドメインユーザーとローカルユーザーがいることに注意してください。testdomain\administratorとadministrator。

これは私が使用するコードです：

このコードは機能しますが、

私が見ているように、プロファイラーで多くの時間がかかっています。これを処理するためのより良い/より速い方法はありますか?

別の方法：

ネストされたグループを持つActiveDirectory（AD）テストインスタンスがあります：ExecutivesとEngineersの2つのサブグループを持つEmployees（Parent）。

AD拡張LDAP_MATCHING_RULE_IN_CHAINがサブツリーを検索することがわかります。このクエリで従業員であるすべてのユーザーを検索できます。

問題：再帰的な検索が、再帰的な結果がない

ただし、「サブツリー検索結果」を取得する方法が見つかりません。つまり、クエリで「Mister Executive」が「Employee」として返されるのに対し、「memberOf」属性には「Executives」、つまり彼が直接属するグループのみが表示されます。 。他のすべての属性を確認しましたが、「従業員」が表示されません

要約

したがって、最終的な明確化のために：ADは、「サブツリー」LDAP_MATCHING_RULE_IN_CHAIN（ "memberOf：1.2.840.113556.1.4.1941：="）検索とともに「サブツリーmemberOf」結果を取得する方法を許可しますか？

前もって感謝します、