几天以来,我一直在努力使用组过滤器通过LDAP对目录进行身份验证。
让我给您我尝试过的所有详细步骤
首先,我使用 gpresult / v 命令检查了我所属的组,然后我了解了我所属的所有安全组(例如:安全组下的“ test_group_1”组)
第二,我添加了以下过滤器:
方法I
LDAPReferrals Off
AuthType Basic
AuthName "LDAP Authentication"
AuthBasicProvider ldap
AuthLDAPURL "ldap://ldap_url:389/o=organization.com?uid?"
AuthLDAPGroupAttributeIsDN On
AuthLDAPSubGroupClass group
AuthLDAPGroupAttribute member
Require ldap-group cn=“test_group_1”,ou=groups, o=organization.com
虽然效果很好,但它也使我可以访问不属于我的组(例如:“ test_group_2”)
我也尝试使用一些属性,例如:
Require ldap-filter groupType:1.2.840.113556.1.4.803:=2147483652,ou=Security Groups, ou= “test_group_2”,o=organization.com
它仍然允许我访问所有组,包括我不属于的组(例如:test_group_2)
我觉得LDAP不尊重此处的组过滤器
因此,我尝试直接查询LDAP网址,这是我尝试过的一些事情:
方法II
AuthLDAPURL “ldap://ldap_url:389/o=organization.com?uid?sub?(&(objectCategory=Person)(|(objectCategory=groupOfUniqueNames))(sAMAccountName=*)(memberOf=cn= test_group_1,ou=people, o=organization.com))"
AuthLDAPURL “ldap://ldap_url:389/o=organization.com?uid?sub?(&(objectClass=group)(memberOf=CN= test_group_1, OU=Groups,DC=internal,DC=organization,DC=com))”
AuthLDAPURL "ldap://ldap_url:389/o=organization.com?uid?sub?(&(ObjectClass=groupOfUniqueNames)(member=cn= test_group_1))"
AuthLDAPURL "ldap://ldap_url:389/o=organization.com uid?sub?(&(objectClass=group)(memberOf=CN=test_group_1,ou=Security Groups,O=organization.com))"
AuthLDAPURL "ldap://ldap_url:389/o=organization.com uid?sub?(&(objectClass=group)(memberOf=CN= test_group_1,ou=Security Groups,O=organization.com))"
AuthLDAPURL "ldap://ldap_url:389/o=organization.com?uid?sub?(&(objectCategory=user)(memberOf=cn= test_group_1,ou=ouOfGroup,DC=internal,DC=organization,DC=com))"
AuthLDAPURL "ldap://ldap_url:389/o=organization.com?uid?sub?(&(objectCategory=user)(memberOf:1.2.840.113556.1.4.1941:=CN= test_group_1,OU=Security Groups,OU=Groups,DC=internal,DC=organization,DC=com))"
直接查询url不起作用,在这里我无法访问任何组,也不能访问我所属的组。
任何人都可以指出正确的方法来执行此操作,或者有什么我想念的东西或任何其他替代方法会有所帮助。
除此之外,我担心:
1.从gpresult / v获得的组是我可以认证的有效活动目录组吗?
2. Active Directory具有通讯组和安全组,是“ OU =安全组”的正确添加方式