LDAP查询以查看用户是否是特定组的成员

时间:2013-01-24 19:52:57

标签: active-directory ldap

假设我有一个用户(User1)和排名顺序的组列表(Group1,Group2,Group3 ......)。我正在尝试找出使用LDAP查询确定特定用户所属的(有序)列表中第一个组的最有效方法。这些查询将使用“LDAP_MATCHING_RULE_IN_CHAIN”规则,以便服务器知道在子组中查找匹配项。除了可能使处理这些查询的速度变慢之外,这并没有太大的改变,这使得性能变得更加重要。

一个选项是获取用户所属的所有组的列表,然后遍历列表以查找第一个匹配项。这工作正常,但我担心LDAP服务器将花费所有这些时间生成一个巨大的组列表,当我们真的可能只需要列表中的第一项。

另一种选择是进行一系列LDAP查询,一次检查用户是否是我们列表中每个组的成员。这似乎不是非常有效,因为可能存在与列表中的组一样多的查询。

我想做的是做一个单独的查询,我向LDAP服务器提供组列表,然后它返回用户所属的第一个组,或者至少它告诉我哪个组用户所属的列出的组。我不知道这是否真的可行。我当然可以在一起使用一组术语来查看用户是否是我列出的任何组的成员,但我不知道是否可以构造一个查询以便它告诉我们我哪些条款产生了匹配。

有什么想法吗?这可能吗?谢谢!

0 个答案:

没有答案