Запрос LDAP для Window AD

Для аутентификации в Jitsi Meet мы хотели бы прочитать группу Windows AD с запросом ldap. К сожалению, наш запрос ldap не работает.

LDAP_URL=ldaps://server.domain.local:636/
LDAP_BASE=DC=domain,DC=local
LDAP_BINDDN=CN=bind_user,OU=Administrative Accounts,OU=Benutzer,DC=domain,DC=local
LDAP_BINDPW=*

LDAP_FILTER= (&(|objectclass=user))(|(memberof=CN=group,OU=Jitsi,OU=Sicherheit,OU=Gruppen,DC=domain,DC=local)
(primaryGroupID=4989))

Ошибка должна быть из-за фильтра, работает с фильтром LDAP_FILTER = (sAMAccountName =% u).

Можете ли вы сказать мне, что не так с нашим запросом?


active-directory ldap jitsi
person SvenB    schedule 16.06.2020    source источник
comment
Являются ли пользователи членами группы напрямую или через членство во вложенных группах?   -  person Mathias R. Jessen    schedule 16.06.2020

Ответы (1)


arrow_upward
0
arrow_downward

Несколько вещей выделяются для меня:

  1. | перед objectClass не должно быть.
  2. У вас есть две закрывающие скобки после условия objectClass, но вторую нужно переместить в конец всего запроса.
  3. Как ни странно, objectClass=user на самом деле будет включать другие объекты, а не только учетные записи пользователей (например, учетные записи компьютеров). Если вы хотите отфильтровать только пользовательские объекты, вы должны использовать оба (objectClass=user)(objectCategory=person). Но это будет иметь значение только в том случае, если у вас есть другие типы объектов в качестве членов этой группы.
  4. Возможно это просто ошибка при вставке в вопрос, но перед (primaryGroupID= стоит перенос строки
  5. Я никогда не использовал Jitsi, но ему может нравиться или не нравиться пробел после LDAP_FILTER=. В других примерах, которые я вижу в Интернете, пробела нет.

Это должно выглядеть так:

LDAP_FILTER=(&(objectclass=user)(objectCategory=person)(|(memberof=CN=group,OU=Jitsi,OU=Sicherheit,OU=Gruppen,DC=domain,DC=local)(primaryGroupID=4989)))

Это означает: найти все пользовательские объекты, которые либо являются членами этой группы, либо имеют идентификатор основной группы 4989.

person Gabriel Luci    schedule 16.06.2020