Comment puis-je faire une requête LDAP qui ne renvoie que des groupes ayant OU=Groupes de tous les niveaux?

Si je suis à la recherche pour tous les Groups, je reçois trop de déchets.

Si j'essaie d'affiner la base, j'ai trop peu.

Voici un exemple:

CN=A Team,OU=Groups,OU=Americas,DC=example,DC=com
CN=B TEAM,OU=Groups,OU=EMEA,DC=example,DC=com
CN=C Team,OU=Legacy Groups,DC=example,DC=com
CN=D Team,OU=Groups,OU=Bangalore,OU=APAC,DC=example,DC=com
CN=E Team,OU=Common Groups,DC=example,DC=com

Je suis à la recherche d'un annuaire LDAP filter qui renvoie A B D E (sans C) - principalement la logique serait de me faire tous les groupes qui n'ont OU=Groups ou OU=Common Groups

Ma recherche actuelle est à l'aide de:

 Search base: CN=Users,DC=citrite,DC=net
 Filter: (objectCategory=Group)
  • Avez-vous essayé un filtre quelque chose comme (&(objectCategory=Group)(distinguishedName=*OU=Groups*)) ?
  • Distinguer les noms de domaine (DNs) ne sont pas des attributs, ils sont des collections d'une ou de plusieurs noms uniques relatifs et ne peuvent pas être utilisés dans des filtres.
InformationsquelleAutor sorin | 2012-04-05
  1. 5

    D'abord, sur Microsoft Active Directory est impossible à faire en une seule recherche, c'est parce que l'ANNONCE n'est pas entièrement compatible avec LDAP.

    Compatible LDAP serveurs prennent en charge un extensible-match filtre qui fournit le nécessaire
    le filtrage. De RFC4511:

    Si le dnAttributes champ est défini sur TRUE, le match est de plus
    appliquée à l'encontre de tous les AttributeValueAssertions dans une entrée
    nom unique, et qu'il évalue à TRUE si il y a au moins
    un attribut ou d'un sous-type dans le nom unique pour qui la
    élément de filtre est évaluée à TRUE. Le champ dnAttributes est présent
    pour atténuer le besoin de plusieurs versions du générique correspondant
    règles (comme le mot correspondant), où on l'applique à des entrées et
    un autre s'applique aux entrées et DN attributs.

    Noter que le extensible-match filtre technique fonctionne uniquement compatible LDAP serveurs,
    de l'ANNONCE qui n'en est pas un.

    Par exemple, j'ai ajouté les entrées suivantes à un serveur:

    dn: ou=legacy groups,o=training
objectClass: top
objectClass: organizationalUnit
ou: legacy groups

dn: ou=common groups,o=training
objectClass: top
objectClass: organizationalUnit
ou: common groups

dn: ou=groups,o=training
objectClass: top
objectClass: organizationalUnit
ou: groups

dn: cn=a,ou=common groups,o=training
objectClass: top
objectClass: groupOfUniqueNames
uniqueMember: uid=user.0,ou=people,o=training
cn: a

dn: cn=b,ou=groups,o=training
objectClass: top
objectClass: groupOfUniqueNames
uniqueMember: uid=user.0,ou=people,o=training
cn: b

dn: cn=c,ou=legacy groups,o=training
objectClass: top
objectClass: groupOfUniqueNames
uniqueMember: uid=user.0,ou=people,o=training
cn: c

    Examiner le filtre dans la recherche suivante, après les entrées ci-dessus ont été ajoutés:

    ldapsearch --propertiesFilePath ds-setup/11389/ldap-connection.properties \
    --baseDN o=training \
    --searchScope sub '(|(ou:dn:=groups)(ou:dn:=common groups))' 1.1

dn: ou=common groups,o=training

dn: cn=a,ou=common groups,o=training

dn: ou=groups,o=training

dn: cn=b,ou=groups,o=training

    Noter que ou=common groups, ou=groups, et leurs subordonnés sont retournés, mais pas
    ou=legacy groups et subordonnés.

    Cet exemple utilise la syntaxe moderne de la commande ldapsearch outil de ligne de commande. Si l'utilisateur est
    en utilisant l'héritage OpenLDAP version de la commande ldapsearch, les paramètres de l'outil de ligne de commande sont
    quelque peu différents, mais qui n'a pas d'importance. Ce qui compte c'est le filtre.

    • Merci Terry, avant de poster la question, j'ai essayé quelque chose d'assez similaire, avec ou:dn:=groups mais quand je mets ce je n'ai jamais obtenu de résultats. Je suis interrogation d'un Active Directory de Microsoft, donc je suppose que je n'ai pas de contrôle sur le champ dnAttributes - en fait, je n'ai aucune idée de comment même de voir sa valeur.
    InformationsquelleAutor Terry Gardner