如何使用Oracle DBMS_LDAP执行大型(大于Sizelimit)LDAP查询

时间:2015-02-13 22:58:40

标签: oracle plsql ldap

我在11g数据库中有一个PL / SQL包,它可以查找各种属性并处理组成员身份等等。一个函数特别是一个流水线函数,它返回一个函数参数中指定的组的所有成员。它适用于成员少于1000人的团体。在这种情况下,我收到此错误消息:

  

ORA-31202:DBMS_LDAP:LDAP客户端/服务器错误:超出Sizelimit

我理解LDAP(特别是MS Active Directory,我正在处理的内容)的查询结果集大小限制为1000.如果LDAP搜索结果超过这么多条目,则查询失败并且没有结果。我没有选择修改AD架构或类似的东西。我知道在LDAP中有一个“分页”结果集的概念,但我没有在我审查的DBMS_LDAP文档中看到该功能的提及。

http://docs.oracle.com/cd/B10501_01/network.920/a96577/smplcode.htm

对于解决方案或解决方法的任何建议,指导或文档URL,我将不胜感激。

如果“查询切片”是最好的方法,那么请注意,从查询所有顶级OU开始,并在搜索过滤器中使用逻辑AND可能适用于某些情况,但不保证一个OU中不会有1000个或更多用户对象,也是目标安全组的成员。所以它可能必须比OU限制更聪明。

1 个答案:

答案 0 :(得分:1)

在论坛中找到一些非正式的对等支持响应后,我相信截至2015年,DB 11g附带的DBMS_LDAP包未实现标准的“分页搜索结果控制”(https://tools.ietf.org/html/rfc2696)。

我采用的(仍然有限的)方法是创建一个嵌套的for循环,逐步遍历字母表中的每个字母,创建一个通用的名称过滤短语。将此与LDAP组成员资格可以通过多值属性成员或primaryGroupID属性表达的事实相结合,您有52个单独的筛选查询!它的工作原理并不太快,但它确实有效。 

  DECLARE
      l_retval      PLS_INTEGER;
      l_alphabet    varchar2(26) := 'ABCDEFGHIJKLMNOPQRSTUVWXYZ';
      l_slice_prefix varchar2(16);
      l_slice_suffix varchar2(16);
      l_filter     dbms_ldap.string_collection;
      l_slice_filter varchar2(1000);
      l_primaryGroupToken varchar2(128);
   BEGIN     
      l_primaryGroupToken := get_primaryGroupToken(p_group);

      l_retval := get_ldap_session();

      --LDAP idiosyncracy: primaryGroup is NOT listed in member of. 
      --So you really need two distinct queries and "union" them together.     

      l_filter(0) := '(&(objectCategory=person)(objectClass=user)(primaryGroupID='|| l_primaryGroupToken ||')(!(description=Built-in*)))';
      -- lfilter(1) must be populated with output of get_group_dn...
      l_filter(1) := '(&(objectCategory=person)(objectClass=user)(memberof='|| get_group_dn(p_group) ||'))';

        --ORA-31202: DBMS_LDAP: LDAP client/server error: Sizelimit exceeded
        --https://msdn.microsoft.com/en-us/library/ms180880%28v=vs.80%29.aspx
        --So shame on MS for the small limit, and shame on Oracle 
        --for not implementing paging.
        --Now we have to implement our own slicing/paging. 
        --In this case we'll just do first char of the CN
        --against each letter of the alphabet. So 26 "non-uniform" pages.

      <<filter_loop>> 
      for iq in l_filter.FIRST..l_filter.LAST LOOP
          <<slice_loop>> --see above explanation for sizelimits, this is in lieu of real LDAP control paging.
          FOR alphaindex in 1..26 LOOP 
              l_slice_prefix := '(&(CN='||substr(l_alphabet,alphaindex,1)||'*)';
              l_slice_suffix := ')';
              l_slice_filter := l_slice_prefix || l_filter(iq) || l_slice_suffix;
              l_retval := dbms_ldap.search_s(ld       => g_session,
                                             base     => g_ldap_auth_base,
                                             scope    => dbms_ldap.scope_subtree,
                                             filter   => l_slice_prefix || l_filter(iq) || l_slice_suffix,
                                             attrs    => l_attrs,
                                             attronly => 0,
                                             res      => l_message);
              if L_retval = DBMS_LDAP.SUCCESS then

              -- ...

              END IF;
           END LOOP slice_loop;
        END LOOP filter_loop;
   END;
相关问题
最新问题