嵌套 嵌套意味着从LDAP服务器到a的响应 组成员资格属性的请求已包含任何嵌套 组关系,但不是任何动态组成员身份。如果 user是组“A2”的成员,“A2”是组“A1”的成员, 然后,组成员资格列表包括A1和A2。这个 信息告诉VMM即使客户端请求嵌套组 信息,响应已经提供了它。没有其他工作需要 由VMM完成以满足请求。
如何在websphere中实现此功能(连接到Active Directory),以便如果用户是A2的成员,而A2是A1组的成员,我希望用户同时位于A1和A2中。
我在组属性定义中启用了嵌套组,但是当我浏览用户时,它只显示属于组A2的
答案 0 :(得分:1)
配置有助于VMM仅知道从LDAP服务器返回的属性中的预期内容。 VMM通过使用包含成员资格的LDAP提供的属性来快速查找成员资格。您可以在其中定义是否嵌套,全部或直接的配置元素仅帮助VMM在需要执行进一步操作时获得提示。 全部取决于从LDAP返回的值。在您的情况下Active Directory。通常它是memberOf和https://msdn.microsoft.com/en-us/library/ms677943%28v=vs.85%29.aspx
的memberOf
The memberOf attribute is a multi-valued attribute that contains groups of which the user is a direct member, except for the primarygroup,由primaryGroupId表示。团体会员资格是 依赖于此属性所属的域控制器(DC) 检索到:
At a DC for the domain that contains the user, memberOf for the user is complete with respect to membership for groups in that域;但是,memberOf不包含用户的成员资格 其他域中的域本地和全局组。 在GC服务器上,用户的memberOf已完成所有通用组成员身份。
If both conditions are true for the DC, both sets of data are contained in memberOf. Be aware that this attribute lists the groups that contain the user in their member attribute—it does not contain the recursive list嵌套的前辈。例如,如果用户O是组C的成员 B组和B组嵌套在组A中,即memberOf属性 用户O将列出组C和组B,但不列出组A.
This attribute is not stored—it is a computed back-link attribute.
memberOf仅包含直接成员。结合您已完成的配置,VMM将仅检查memberOf中的值,并且不执行任何其他LDAP调用。
现在我有太多选择。您是否希望拥有嵌套的Groups for J2EE角色或在您的应用程序中,因为您使用API或或直接调用VMM。我不想推测我留下声明
memberOf返回平面成员资格,即直接成员资格,VMM需要执行其他调用以获取完整信息。通过设置嵌套的VMM将不会执行任何其他调用
答案 1 :(得分:1)
您需要从nested切换到direct,告诉VMM执行其他搜索,因为AD只返回直接成员。有关详细信息,请参阅Locating user group memberships in a Lightweight Directory Access Protocol registry。