inetOrgPerson avec un membre ou d'un membre?

Ce qui fonctionne

Supposons que j'ai inetOrgPersons dans ou=people,dc=example,dc=com. Exemple:

dn: cn=John Doe,ou=people,dc=example,dc=com
objectClass: inetOrgPerson (structural)
objectClass: person (structural)
objectClass: top (abstract)
cn: John Doe
sn: Doe
givenName: John
mail: [email protected]
uid: john.doe

En outre, j'ai plusieurs organizations:

dn: o=foo,dc=example,dc=com
objectClass: organization (structural)
objectClass:top (abstract)
o: foo

dn: o=bar,dc=example,dc=com
objectClass: organization (structural)
objectClass:top (abstract)
o: bar

Pour chaque organization il y a un groupOfNames:

dn: cn=users,o=foo,dc=example,dc=com
objectClass:groupOfNames (structural)
cn: users
member: cn=John Doe,ou=people,dc=example,dc=com

dn: cn=users,o=bar,dc=example,dc=com
objectClass:groupOfNames (structural)
cn: users

Comme vous pouvez le voir, cn=John Doe,ou=people,dc=example,dc=com est répertorié comme un member de cn=users,o=foo,dc=example,dc=com mais pas de dn: cn=users,o=bar,dc=example,dc=com.

Problème

Je tiens à souligner l'adhésion à la inetOrgPersons, trop.

memberOf n'est pas dans les schémas que j'utilise actuellement pour un utilisateur. Est-il un schéma qui permet de memberOf?

member fait partie de groupOfNames mais ce objectClass conflits avec inetOrgPerson:

[LDAP: error code 65 - invalid structural object class chain (inetOrgPerson/groupOfNames)]

Question

Comment puis-je prends note de l'appartenance à cn=users,o=foo,dc=example,dc=com sur cn=John Doe,ou=people,dc=example,dc=com?

OriginalL'auteur | 2013-12-05

  1. 5

    Si vous êtes à l'aide de OpenLDAP, vous devez utiliser le 'memberof' de superposition, qui maintient un véritable "memberOf" attribut parmi les attributs opérationnels.

    Remarque qu'il n'affecte pas les appartenances qui existent déjà, seulement des nouveaux à partir de quand vous devez d'abord charger la superposition. Voir la documentation OpenLDAP.

    OriginalL'auteur user207421

  2. 3

    En fonction sur le serveur en cours d'utilisation, memberOf pourrait être un champ virtuel et ne soit pas listé dans l'entrée, mais plutôt est généré par le serveur. Certains autres serveurs utilisent isMemberOf au lieu de memberOf. memberOf ou isMemberOf serait généré au moment de la requête par le serveur.

    On pourrait de recherche:

    ldapsearch -h hostname -p port \
   -b dc=example,dc=com -s sub \
   '(memberOf=cn=users,o=foo,dc=example,dc=com)'

    ou

    ldapsearch -h hostname -p port \
   -b dc=example,dc=com -s sub \
   '(isMemberOf=cn=users,o=foo,dc=example,dc=com)'

    pour obtenir les noms illustres qui sont membres de cn=users,o=foo,dc=example,dc=com.

    Pour obtenir les groupes de qui connu un nom unique est un membre:

    ldapsearch -h hostname -p port \
   -b dc=example,dc=com -s sub \
   '(cn=Joe User)' isMemberOf

    ou

    ldapsearch -h hostname -p port \
   -b dc=example,dc=com -s sub \
   '(cn=Joe User)' memberOf

    La classe de l'objet de la violation se produit parce que groupofNames et inetOrgPerson sont à la fois structurelles des classes d'objets. Une seule classe d'objet structurel est autorisée par l'objet. Brisé les serveurs d'annuaire (DSEE par exemple) permettent à plusieurs structurelle des classes d'objet par objet, si. Dans l'un de vos exemples, il apparaît que le person et inetOrgPerson sont dans le même objet, c'est un cas différent car inetOrgPerson est un descendant de person.

    Merci pour votre réponse, elle m'aide à comprendre plus au sujet de LDAP 🙂 OpenLDAP 2.3 semble pas en charge ces attributs. Les deux member et isMemberOf retour rien dans les deux types de recherches.
    Je suis presque sûr qu'il ne soutien de l'un de ceux-ci, il pourrait être une superposition. Consulter le OpenLDAP docs.

    OriginalL'auteur Terry Gardner