問題タブ [ldap-query]

親愛なる LotusScript の達人へ

Windows 2003 AD を Lotus Domino ディレクトリ (V 7.0.3 サーバー/クライアント) と同期する Lotus Notes エージェントを開発しています。

ADODB.Connection および ADODB.Command プロセスを使用して接続し、AD ユーザーにクエリを実行しています。

これはコマンド テキストです。

objCommand.CommandText = "<LDAP://ou=DMHU Users,dc=some,dc=kindof,dc=domain>;(&(objectCategory=person)(objectClass=user));name,lastLogon;subTree"

次に、「lastLogon」フィールドのコンテンツにアクセスします。

objRecordSet.Fields("lastLogon").Value

しかし、フィールド「名前」が正しい値を持っている間、これは空です（lastLogonフィールドは64ビットの日付であることがわかっています-整数など）。

たとえば VBScript で同じクエリを使用すると、lastLogon コンテンツを適切に受け取ります。

また、LotusScript コード内で SQL のようなクエリを使用すると、同じ空の lastLogon 値が返されます。

誰かアイデアがありますか？

前もって感謝します！

Alfresco には、同期するグループを LDAP クエリで指定できるフィールドがあります。

グループを同期したくないので、常に 0 の結果を返すには、どのクエリを入力すればよいですか?

クレイジーな条件を検索するクエリを書くこともできると思いますが、もっと読みやすいものはありますか?

Windows ドメイン (Active Directory) の TeamCity 7.1.2 で LDAP 認証を構成しています。

基本的には機能します (ドメイン ユーザーでログインできます!) が、会社全体のすべてのユーザーがログインできます。
--> 現在、アクセスを開発者のみに制限しようとしています。

TeamCity ドキュメントでこの例を見つけました。

CN=Group1,CN=Users,DC=example,DC=comそのため、ユーザーがいる LDAP グループに置き換えるだけです。
しかし、LDAP のクエリは私にとってまったく新しいものなので、正しい構文を理解することはできません。

私のユーザーはここにいます：

っていうことは：

「CompanyName」、「IT」、および「Entwickler」は組織単位です。
構文は次のようになることを理解しています。

それを TeamCity の構成ファイルに入れると、ログインできず、TeamCity はこれをログファイルに書き込みます。

LDAP で検索: base='DC=CompanyName,DC=de', filter='(&(sAMAccountName=MyUser)(memberOf=OU=Entwickler,OU=IT,OU=CompanyName,DC=CompanyName,DC=de)) '、scope=2、attributes=[sAMAccountName、distinguishedName] でエラーが発生しました

と：

ユーザー "MyUser" のログインに失敗しました: javax.security.auth.login.LoginException: [LDAP: エラー コード 32 - 0000208D: NameErr: DSID-031001CD、問題 2001 (NO_OBJECT)、データ 0、最適一致: 'DC=CompanyName ,DC=de'

私は何を間違っていますか？

注:私のクエリが正しい可能性
があります。 これは TeamCity の問題です。 (私が使用しているバージョンには LDAP に関するいくつかの問題がありますが、私以外のエラー メッセージが表示されます) TeamCity の問題トラッカーにこれを投稿するかもしれませんが、エラーが発生しないことを確認する前に、 LDAP クエリが間違っているため、ここで質問します。

汎用ADサービスのネストされたグループメンバーシップを実装する必要があります。以前は、特定の検索フィルター（ "member：1.2.840.113556.1.4.1941：="）を使用していました。これにより、単一の検索要求を使用して、そのユーザーが参加しているすべてのグループメンバーシップを取得できました。 。ただし、search-filterはMS ADサーバーでのみ機能し、汎用ADサーバーでは機能しないようです。

したがって、検索リクエストで送信できる特定の検索フィルター（すべてのADサーバーに適用可能）を知っている人はいますか？これにより、単一の検索クエリを介してネストされたグループメンバーシップを取得できます。

これについてご協力いただきありがとうございます。

weblogic '10.3.4.0' をインストールし、ドメインを作成し、デフォルト セキュリティ レルムにbusinessユーザーを作成しました。オーセンティケータは、weblogic と同様です。ここで、LDAP を使用してスタンドアロンの Java アプリケーションでユーザーを認証したいと考えています。また、LDAP 資格情報を変更しようとしました。アプリケーションの実行後、システムは次のエラーで応答しています: 。businessusermyrealmDefaultAuthenticatorjavax.naming.AuthenticationException: [LDAP: error code 49 - Invalid Credentials]

コード：

エラー：

これが可能かどうかはわかりませんが、LDAPを介してAD内の特定のOUから次のサブOUを取得したいと思います。

特定のユーザーXが管理できるすべてのOU（パスワードの設定、ユーザーまたはグループの編集など）を取得します。

OUを取得するには、でフィルタリングできますが(objectClass=organizationalUnit)、管理者権限でフィルタリングするにはどうすればよいですか？

ネストされたグループメンバーシップを抽出するためのLDAP検索フィルターに関する情報が必要です。基本的に、私の考えは、たとえば、ユーザーが5つのグループ[A、B、C、D、E]に属しているということです。単一のLDAP検索クエリを記述して、グループ[A、B、C、 D、E]の一部である可能性がありますか？そして、このlogcを再帰的に使用して、ADの完全なルートまですべてのグループ情報を取得できますか？

また、このソリューションは汎用AD用である必要があるため、MSADでのみ機能するLDAP_RULE_IN_CHAINフィルターを使用できません。

私はこれに似たドメイン構造を持っています:

各ドメインには、ユーザー OU とグループ OU があります。

各ドメインには (us,uk,au) 01 から 10 のユーザー (us01、us02、....、uk01、uk02、....、au01、au02..) がいます。

グループがあります：

us01、uk01、および au01 は、

のすべてのメンバーを返すために LDAP クエリを実行しようとしています。

私は、「DC=earth,DC=com」のベース DN とフィルター付きを信じていました。

SUBTREE レベルのスコープでは機能するはずですが、そうではありません。

私は何を間違っていますか？出来ますか？

JXplorer を使用してテストしています。

さらに、ローカル ドメインに含まれるオブジェクトのみを照会/返すことができます。つまり、earth.com を BASE DN として使用すると、返される地球ドメインのオブジェクトしか「見る」ことができません。サブドメインを横断することはできないようです。これは正常ですか？

また、兄弟ドメインのオブジェクトも表示できません。つまり、au ドメインを BASE DN として使用している場合、英国のユーザーが表示されません。BASE DN はサブツリーに AD オブジェクトを「表示」できるようにする必要があるため、これは正しいと思います。これは正しいです？

バックグラウンド

セキュリティ監査を支援する SQL を作成しています。これにより、さまざまなシステム データベースおよび Active Directory からセキュリティ情報が取得され、すべての異常のリストが生成されます (つまり、あるシステムでアカウントが閉鎖されているが、他のシステムでは閉鎖されていない場合など)。

現在のコード

セキュリティ グループのメンバーであるユーザーのリストを取得するには、次の SQL を実行します。

問題/質問

このコードが再帰的に機能することを望みます。つまり、ユーザーが指定されたグループのメンバーであるグループのメンバーである場合、それらも含める必要があります (完全な階層の場合)。SQLを介してこれを行う方法を知っている人はいますか?

アップデート

いくつかの問題を解決しました (引用された問題とは関係ありませんが、私が抱えていた他のいくつかの問題です)。

• lastLogon がエラーをスローしていました。これは、サーバーのバージョンが x86 だったためです。x64 データベースを使用すると、問題が解決しました。
• lastLogon は数値として返されました。これを DateTime2 に変換するコードを追加しました。
• OpenQuery 自体を動的にすることで、グループ名をハード コーディングされた文字列から移動することができたので、OpenQuery のコンテキスト内では、生成された文字列は静的に見えます。

..

LDAP システムでクエリを実行できません。マネージャーを照会して直属の部下のリストを受け取ることができるので、接続が正しいことがわかります。

RootDSEフィールドで部分一致するアイテムをから検索したいと思いmanagedByます。ワイルドカードとして使用*して、検索したい*XX9XXX9*。

nameフィールドで次の検索を実行すると、正しいレコードが表示されます。(&(objectCategory=*)(name=XX9XXX99X99X9))

managedByフィールドには次の属性が含まれます。

nameフィールドで行ったのと同じクエリを実行しようとしても、結果が返されません。どんな助けでも大歓迎です。