PHP la fonction ldap_search taille limite dépassée

Je suis assez nouveau à l'interrogation Active Directory de Microsoft et fait face à certaines difficultés:

L'ANNONCE a une limite de taille de 1000 éléments par demande. Je ne peux pas changer la taille limite. PHP ne semble pas à l'appui de la pagination (j'utilise la version 5.2 et il n'y a aucun moyen de mettre à jour le serveur de production.)

J'ai rencontrés jusqu'à présent deux solutions possibles:

  1. Trier les entrées par objectSid et utiliser des filtres pour obtenir tous les objets. Exemple De Code

    Je n'aime pas pour plusieurs raisons:

    • Il semble imprévisible au mess avec le objectSid, comme vous venez de le démonter, de le convertir en décimal, de la convertir ...
    • Je ne vois pas comment vous pouvez comparer ces id.

      (J'ai essayé: "&((objectClass=user)(objectSid>=0))')

  2. Filtre après les premières lettres des noms d'objet (comme l'a suggéré ici):

    Ce n'est pas une solution optimale comme la plupart des utilisateurs/groupes dans notre système sont préfixés avec même quelques lettres.

Donc ma question:

Ce que la meilleure approche utilisée ici?

Si c'est le premier qui, comment puis-je être sûr à gérer la objectSid correctement?

D'autres possibilités?
Ai-je raté quelque chose d'évident?

Mise à jour:

- Cette liés à la question fournit des informations au sujet de pourquoi le Simple Paginé Résultats de l'extension ne fonctionne pas.

- Le serveur web est en cours d'exécution sur un serveur Linux, de sorte que les objets COM/adoDB ne sont pas une option.

OriginalL'auteur Envyrus | 2011-12-26

  1. 1

    Jamais de faire des hypothèses sur les serveurs ou la configuration du serveur, ce qui conduit à une fragilité code et inattendu, parfois spectaculaires échecs. Juste parce que c'est l'ANNONCE d'aujourd'hui ne signifie pas que ce sera demain, ou que Microsoft ne changera pas la limite par défaut dans le serveur. J'ai récemment traité avec une situation où le client le code a été écrit avec les connaissances tribales que la limite de taille est de 2000, et lorsque les administrateurs, pour des raisons qui leur sont propres, changé la taille limite, le client code échec horrible.

    Êtes-vous sûr que PHP n'a pas l'appui de la demande de contrôle (le simple résultat paginé extension est une demande de contrôle)? J'ai écrit un article sur "LDAP: Simple Paginé Résultats", et si l'article un exemple de code Java, les concepts sont importants, pas la langue. Voir aussi "LDAP: Pratiques de Programmation".

    Merci, le mot-clé " Simple Paginé Résultats conduisent à Question, qui a une grande réponse. Semble que la seule façon de le faire est adoDB, curieux de savoir comment cela va fonctionner.
    Vos liens sont partis.

    OriginalL'auteur Terry Gardner

  2. 1

    Comme je n'en ai pas trouvé des solutions propres, j'ai décidé d'aller avec la première approche: le Filtrage Par l'Objet-les Peid.

    Cette solution a ses limites:

    1. Elle ne fonctionne que pour les objets avec une objectsid, j'.e des Utilisateurs et des Groupes.
    2. Il suppose que tous les Utilisateurs/Groupes sont créés par la même autorité.
    3. Il suppose qu'il n'y a pas plus proche disparu, msn que la limite de taille.

    L'idée est-elle d'abord à lire tous les objets possibles et choisir celui avec la plus petite par rapport à SID. La relative SID est le dernier morceau dans le SID:

    S-1-5-21-3188256696-111411151-3922474875-1158

    Imaginons que c'est le plus bas par rapport SID dans une recherche qui n'a retourné "Partielle les Résultats de la Recherche'.
    Nous allons en outre assumer la taille limite est de 1000.

    Ensuite, le programme effectue les opérations suivantes:
    Il recherche tous les Objets avec le Sid entre

    S-1-5-21-3188256696-111411151-3922474875-1158

    S-1-5-21-3188256696-111411151-3922474875-0159

    puis tous entre

    S-1-5-21-3188256696-111411151-3922474875-1158

    S-1-5-21-3188256696-111411151-3922474875-2157

    et ainsi de suite jusqu'à ce que la recherche renvoie zéro des objets.

    Il y a plusieurs problèmes avec cette approche, mais c'est suffisant pour mes besoins.

    Le Code:

    $filter = '(objectClass=Group)';
$attributes = array('objectsid','cn'); //objectsid needs to be set
$result = array();
$maxPageSize = 1000;
$searchStep = $maxPageSize-1;
$adResult = @$adConn->search($filter,$attributes); //Supress warning for first query (because it exceeds the size limit)
//Read smallest RID from the resultset
$minGroupRID = '';
for($i=0;$i<$adResult['count'];$i++){
$groupRID = unpack('V',substr($adResult[$i]['objectsid'][0],24));
if($minGroupRID == '' || $minGroupRID>$groupRID[1]){
$minGroupRID = $groupRID[1];
}    
}
$sidPrefix =  substr($adResult[$i-1]['objectsid'][0],0,24);   //Read last objectsid and cut off the prefix
$nextStepGroupRID = $minGroupRID;
do{ //Search for all objects with a lower objectsid than minGroupRID
$adResult = $adConn->search('(&'.$filter.'(objectsid<='.preg_replace('/../','\\\\$0',bin2hex($sidPrefix.pack('V',$nextStepGroupRID))).')(objectsid>='.preg_replace('/../','\\\\$0',bin2hex($sidPrefix.pack('V',$nextStepGroupRID-$searchStep))).'))', $attributes);
for($i=0;$i<$adResult['count'];$i++){
$RID = unpack('V',substr($adResult[$i]['objectsid'][0],24));    //Extract the relative SID from the SID
$RIDs[] = $RID[1];
$resultSet = array();
foreach($attributes as $attribute){
$resultSet[$attribute] = $adResult[$i][$attribute][0];
}
$result[$RID[1]] = $resultSet;
}
$nextStepGroupRID = $nextStepGroupRID-$searchStep;
}while($adResult['count']>1);
$nextStepGroupRID = $minGroupRID;
do{ //Search for all object with a higher objectsid than minGroupRID  
$adResult = $adConn->search('(&'.$filter.'(objectsid>='.preg_replace('/../','\\\\$0',bin2hex($sidPrefix.pack('V',$nextStepGroupRID))).')(objectsid<='.preg_replace('/../','\\\\$0',bin2hex($sidPrefix.pack('V',$nextStepGroupRID+$searchStep))).'))', $attributes);
for($i=0;$i<$adResult['count'];$i++){
$RID = unpack('V',substr($adResult[$i]['objectsid'][0],24));    //Extract the relative SID from the SID
$RIDs[] = $RID[1];
$resultSet = array();
foreach($attributes as $attribute){
$resultSet[$attribute] = $adResult[$i][$attribute][0];
}
$result[$RID[1]] = $resultSet;
}
$nextStepGroupRID = $nextStepGroupRID+$searchStep;
}while($adResult['count']>1);
var_dump($result);

    $AdConn->méthode de recherche ressemble à ceci:

    function search($filter, $attributes = false, $base_dn = null) {
if(!isset($base_dn)){
$base_dn = $this->baseDN;
}
$entries = false;
if (is_string($filter) && $this->bind) {
if (is_array($attributes)) {
$search  = ldap_search($this->resource, $base_dn, $filter, $attributes);
} else {
$search  = ldap_search($this->resource, $base_dn, $filter);
}
if ($search !== false) {
$entries = ldap_get_entries($this->resource, $search);
}
}
return $entries;
}

    OriginalL'auteur Envyrus

  3. 1

    Le script précédent erreur peut se produire lorsque la distance entre le plus proche de chez Sid 999 plus.
    Exemple:

    S-1-5-21-3188256696-111411151-3922474875-1158

    S-1-5-21-3188256696-111411151-3922474875-3359

    3359-1158 > 999

    afin d'éviter cela, vous devez utiliser des structures rigides

    Exemple:

    $tt = '1';
do {
...
$nextStepGroupRID = $nextStepGroupRID - $searchStep;
$tt++;
} while ($tt < '30');

    Dans cet exemple, nous sommes obligés de vérifier 999 * 30 * 2 = 59940 valeurs.

    OriginalL'auteur Андрей Иванов

  4. 1

    J'ai été en mesure de contourner la limitation de la taille à l'aide de ldap_control_paged_result

    ldap_control_paged_result est utilisé pour Activer LDAP pagination par l'envoi de la pagination de contrôle. Ci-dessous la fonction a parfaitement fonctionné dans mon cas. Ce serait le travail (PHP 5 >= 5.4.0, PHP 7)

    function retrieves_users($conn)
{
$dn        = 'ou=,dc=,dc=';
$filter    = "(&(objectClass=user)(objectCategory=person)(sn=*))";
$justthese = array();
//enable pagination with a page size of 100.
$pageSize = 100;
$cookie = '';
do {
ldap_control_paged_result($conn, $pageSize, true, $cookie);
$result  = ldap_search($conn, $dn, $filter, $justthese);
$entries = ldap_get_entries($conn, $result);
if(!empty($entries)){
for ($i = 0; $i < $entries["count"]; $i++) {
$data['usersLdap'][] = array(
'name' => $entries[$i]["cn"][0],
'username' => $entries[$i]["userprincipalname"][0]
);
}
}
ldap_control_paged_result_response($conn, $result, $cookie);
} while($cookie !== null && $cookie != '');
return $data;
}

    Si vous avez mis à jour votre serveur en maintenant, alors la fonction ci-dessus peuvent obtenir toutes les entrées. Je suis à l'aide de cette fonction pour obtenir tous les utilisateurs de notre ANNONCE.

    OriginalL'auteur Fokwa Best