禁用LDAP引用

时间:2016-01-04 18:06:10

标签: windows active-directory server windows-server windows-server-2012-r2

我目前正在尝试将SSO与Active Directory集成。 SSO服务告诉我,我的服务器正在响应LDAP“推荐”。

有没有办法禁用这些推介?只有一个服务器/域,服务器是域控制器,所以我不知道为什么我会首先得到这些。任何帮助表示赞赏。谢谢!

2 个答案:

答案 0 :(得分:1)

原来,搜索中的“基本DN”不够具体。显然,如果您没有确定用户所在的确切OU或CN,您将获得推荐。由于我只有一个活跃的OU,我只是把它指向那里,现在一切似乎都在起作用。

答案 1 :(得分:0)

不要使用端口 389,而是使用 Microsoft 特定的端口 3268。

来自MSDN

<块引用>

避免不必要的 SearchResultReference 引荐追逐

启用引用追踪后,如果初始域无法满足查询,您的代码可能会在 Active Directory 树中从一个域到另一个域尝试满足请求。这种方法可能非常耗时。当执行对象查询并且对象的域未知时,使用全局目录作为搜索的基础,而不是使用引用追踪。

然后:

<块引用>

连接到全局目录

有多种方法可以连接到全局目录。如果您使用的是 LDAP,则在 ldap_open 或 ldap_init 调用中使用端口 3268。

您可能认为一切都满足于初始(仅!)域,但是...这是官僚主义,1 件事的列表仍然是列表。

创建安全组时,您可以将其设为全局或域本地。如果用户属于一个全局组,就像我的情况一样,AD 会自动假定在全局目录中可能有更多信息可以找到,因此对端口 389 的查询将生成 3 个引用。可能有其他原因触发了引用。

我必须解决这个问题,因为我在顶层有很多 OU,我想在一次身份验证中查询所有这些 OU。

特别是 ProFTPd 的 mod_ldap.c 被这些引用分散了注意力。它在单独的 LDAP 事务中跟踪它们, 绑定与初始查询相同的凭据。尽管他们什么也没添加,但 ldap 库肯定返回了一个不透明的错误。