我正在创建一个通用LDAP接口以与LDAP兼容目录(Active Directory等)集成的项目。我们的设计需要我们将用户/组(而不是密码)从LDAP目录复制到一个单独的数据库中(我不会在这里讨论这个原因)。
在某个时间间隔内,我们的计划是通过LDAP查询目录,提取所有用户/组信息,并将其与我们拥有的信息同步。第一次点击需要我们获得所有内容,但是如果有办法查询自上次检查以来发生过变化的所有内容,后续请求可能会更有效率。
LDAP是否支持这种类型的“只是给我改变了什么”的机制?如果是,那么LDAP查询会是什么样的?
答案 0 :(得分:3)
你使用这样的东西:
(&(objectClass=User)(objectCategory=person)(whenChanged>=20160406000000.0Z))
请注意,日期格式以YYYYMMDD开头。
whenChanged属性在所有域控制器上都不一样,因为whenChanged本身不会复制,但随着重复的任何更改,它会在每个DC上更新。有关详细说明,请参阅here。
另请注意,登录用户的行为将更新whenChanged日期。