用于搜索多个特定 OU 的 LDAP 根查询语法

2024-01-05

我需要运行一个 LDAP 查询来搜索根查询中的两个特定组织单位 (OU)，但我遇到了困难。我尝试了下面的以下查询，但都没有成功：

(|(OU=Staff,DC=my,DC=super,DC=org)(OU=Vendors,DC=my,DC=super,DC=org))

((OU=Staff,DC=my,DC=super,DC=org) | (OU=Vendors,DC=my,DC=super,DC=org))

我的问题是；是否可以查询多个 OU在单个查询中？假设这是根 LDAP 查询中此类表达式的正确语法。

你可以！！！简而言之，使用它作为连接字符串：

ldap://<host>:3268/DC=<my>,DC=<domain>?cn

与您的搜索过滤器一起，例如

(&(sAMAccountName={0})(&((objectCategory=person)(objectclass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2))(memberOf:1.2.840.113556.1.4.1941:=CN=<some-special-nested-group>,OU=<ou3>,OU=<ou2>,OU=<ou1>,DC=<dc3>,DC=<dc2>,DC=<dc1>))))

这将在所谓的全球目录 http://technet.microsoft.com/en-us/library/cc978012.aspx，这在我们的环境中是开箱即用的。

而不是已知/常见的其他版本（或其组合）在我们的环境中不起作用具有多个 OU：

ldap://<host>/DC=<my>,DC=<domain>
ldap://<host>:389/DC=<my>,DC=<domain>  (standard port)
ldap://<host>/OU=<someOU>,DC=<my>,DC=<domain>
ldap://<host>/CN=<someCN>,DC=<my>,DC=<domain>
ldap://<host>/(|(OU=<someOU1>)(OU=<someOU2>)),DC=<my>,DC=<domain> (search filters here shouldn't work at all by definition)

（我是一名开发人员，而不是 AD/LDAP 专家:)该死的，我已经在各地寻找这个解决方案近 2 天了，几乎放弃了，习惯了我可能必须手动实现这个显然非常常见的场景的想法（与 Jasperserver/Spring 安全性(/Tomcat))。（所以，如果其他人或我将来再次遇到这个问题，这将是一个提醒：O））

这是我在研究过程中发现的一些其他相关主题，但大多没有什么帮助：

the solution隐藏在 LarreDo 2006 年的评论中 http://twiki.org/cgi-bin/view/Support/AuthenticationWithApacheAndLDAP
一些微软回答的问题最佳实践 how to design您的组织在目录，指出在大公司中使用多个顶级 OU 并不罕见，甚至是合适的 http://social.technet.microsoft.com/Forums/windowsserver/en-US/064aa5c9-f040-45b6-b36a-38d1823c16a1/active-directory-design-multiple-domains-or-organizational-units
Tim Wong (2011) 补充说，这可能是 DNS 名称无法解析的问题 in the 森林DNS区域（使用了部分AD顶级域） http://answers.atlassian.com/questions/2786/handling-multiple-ldap-ous-in-jira-4-3
示例代码使用时手动实现它弹簧安全（例如也用于 Jasper） http://forum.spring.io/forum/spring-projects/security/47858-ldap-query-multiple-ou-s
约翰·莫里西（John Morrissey，2012）建议这样做可能与某些安全设置有关如果你使用 TLS，它可能会起作用（我猜 LDAP 服务器是否想要限制这种对非安全连接的全局搜索 - 这对我来说似乎不是一个好的（它的半生不熟的）安全方法） http://forums.proftpd.org/smf/index.php/topic,7096.msg18382.html?PHPSESSID=at7pgqrooq1p8hab44q34969f7#msg18382
阿沃特金斯 (2012) 使用一些黑客方法在一些mod_ldap.c代码（任何软件的） http://forums.proftpd.org/smf/index.php/topic,7096.msg29856.html?PHPSESSID=at7pgqrooq1p8hab44q34969f7#msg29856

在这里，我将提供我们的匿名 Tomcat LDAP 配置，以防它可能有帮助（/var/lib/tomcat7/webapps/jasperserver/WEB-INF/applicationContext-externalAUTH-LDAP.xml):

<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.1.xsd">

<!-- ############ LDAP authentication ############ - Sample configuration 
    of external authentication via an external LDAP server. -->


<bean id="proxyAuthenticationProcessingFilter"
    class="com.jaspersoft.jasperserver.api.security.externalAuth.BaseAuthenticationProcessingFilter">
    <property name="authenticationManager">
        <ref local="ldapAuthenticationManager" />
    </property>
    <property name="externalDataSynchronizer">
        <ref local="externalDataSynchronizer" />
    </property>

    <property name="sessionRegistry">
        <ref bean="sessionRegistry" />
    </property>

    <property name="internalAuthenticationFailureUrl" value="/login.html?error=1" />
    <property name="defaultTargetUrl" value="/loginsuccess.html" />
    <property name="invalidateSessionOnSuccessfulAuthentication"
        value="true" />
    <property name="migrateInvalidatedSessionAttributes" value="true" />
</bean>

<bean id="proxyAuthenticationSoapProcessingFilter"
    class="com.jaspersoft.jasperserver.api.security.externalAuth.DefaultAuthenticationSoapProcessingFilter">
    <property name="authenticationManager" ref="ldapAuthenticationManager" />
    <property name="externalDataSynchronizer" ref="externalDataSynchronizer" />

    <property name="invalidateSessionOnSuccessfulAuthentication"
        value="true" />
    <property name="migrateInvalidatedSessionAttributes" value="true" />
    <property name="filterProcessesUrl" value="/services" />
</bean>

<bean id="proxyRequestParameterAuthenticationFilter"
    class="com.jaspersoft.jasperserver.war.util.ExternalRequestParameterAuthenticationFilter">
    <property name="authenticationManager">
        <ref local="ldapAuthenticationManager" />
    </property>
    <property name="externalDataSynchronizer" ref="externalDataSynchronizer" />

    <property name="authenticationFailureUrl">
        <value>/login.html?error=1</value>
    </property>
    <property name="excludeUrls">
        <list>
            <value>/j_spring_switch_user</value>
        </list>
    </property>
</bean>

<bean id="proxyBasicProcessingFilter"
    class="com.jaspersoft.jasperserver.api.security.externalAuth.ExternalAuthBasicProcessingFilter">
    <property name="authenticationManager" ref="ldapAuthenticationManager" />
    <property name="externalDataSynchronizer" ref="externalDataSynchronizer" />

    <property name="authenticationEntryPoint">
        <ref local="basicProcessingFilterEntryPoint" />
    </property>
</bean>

<bean id="proxyAuthenticationRestProcessingFilter"
    class="com.jaspersoft.jasperserver.api.security.externalAuth.DefaultAuthenticationRestProcessingFilter">
    <property name="authenticationManager">
        <ref local="ldapAuthenticationManager" />
    </property>
    <property name="externalDataSynchronizer">
        <ref local="externalDataSynchronizer" />
    </property>

    <property name="filterProcessesUrl" value="/rest/login" />
    <property name="invalidateSessionOnSuccessfulAuthentication"
        value="true" />
    <property name="migrateInvalidatedSessionAttributes" value="true" />
</bean>



<bean id="ldapAuthenticationManager" class="org.springframework.security.providers.ProviderManager">
    <property name="providers">
        <list>
            <ref local="ldapAuthenticationProvider" />
            <ref bean="${bean.daoAuthenticationProvider}" />
            <!--anonymousAuthenticationProvider only needed if filterInvocationInterceptor.alwaysReauthenticate 
                is set to true <ref bean="anonymousAuthenticationProvider"/> -->
        </list>
    </property>
</bean>

<bean id="ldapAuthenticationProvider"
    class="org.springframework.security.providers.ldap.LdapAuthenticationProvider">
    <constructor-arg>
        <bean
            class="org.springframework.security.providers.ldap.authenticator.BindAuthenticator">
            <constructor-arg>
                <ref local="ldapContextSource" />
            </constructor-arg>
            <property name="userSearch" ref="userSearch" />
        </bean>
    </constructor-arg>
    <constructor-arg>
        <bean
            class="org.springframework.security.ldap.populator.DefaultLdapAuthoritiesPopulator">
            <constructor-arg index="0">
                <ref local="ldapContextSource" />
            </constructor-arg>
            <constructor-arg index="1">
                <value></value>
            </constructor-arg>

            <property name="groupRoleAttribute" value="cn" />
            <property name="convertToUpperCase" value="true" />
            <property name="rolePrefix" value="ROLE_" />
            <property name="groupSearchFilter"
                value="(&amp;(member={0})(&amp;(objectCategory=Group)(objectclass=group)(cn=my-nested-group-name)))" />
            <property name="searchSubtree" value="true" />
            <!-- Can setup additional external default roles here <property name="defaultRole" 
                value="LDAP"/> -->
        </bean>
    </constructor-arg>
</bean>

<bean id="userSearch"
    class="org.springframework.security.ldap.search.FilterBasedLdapUserSearch">
    <constructor-arg index="0">
        <value></value>
    </constructor-arg>
    <constructor-arg index="1">
        <value>(&amp;(sAMAccountName={0})(&amp;((objectCategory=person)(objectclass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2))(memberOf:1.2.840.113556.1.4.1941:=CN=my-nested-group-name,OU=ou3,OU=ou2,OU=ou1,DC=dc3,DC=dc2,DC=dc1))))
        </value>
    </constructor-arg>
    <constructor-arg index="2">
        <ref local="ldapContextSource" />
    </constructor-arg>
    <property name="searchSubtree">
        <value>true</value>
    </property>
</bean>

<bean id="ldapContextSource"
    class="com.jaspersoft.jasperserver.api.security.externalAuth.ldap.JSLdapContextSource">
    <constructor-arg value="ldap://myhost:3268/DC=dc3,DC=dc2,DC=dc1?cn" />
    <!-- manager user name and password (may not be needed) -->
    <property name="userDn" value="CN=someuser,OU=ou4,OU=1,DC=dc3,DC=dc2,DC=dc1" />
    <property name="password" value="somepass" />
    <!--End Changes -->
</bean>
<!-- ############ LDAP authentication ############ -->

<!-- ############ JRS Synchronizer ############ -->
<bean id="externalDataSynchronizer"
    class="com.jaspersoft.jasperserver.api.security.externalAuth.ExternalDataSynchronizerImpl">
    <property name="externalUserProcessors">
        <list>
            <ref local="externalUserSetupProcessor" />
            <!-- Example processor for creating user folder -->
            <!--<ref local="externalUserFolderProcessor"/> -->
        </list>
    </property>
</bean>

<bean id="abstractExternalProcessor"
    class="com.jaspersoft.jasperserver.api.security.externalAuth.processors.AbstractExternalUserProcessor"
    abstract="true">
    <property name="repositoryService" ref="${bean.repositoryService}" />
    <property name="userAuthorityService" ref="${bean.userAuthorityService}" />
    <property name="tenantService" ref="${bean.tenantService}" />
    <property name="profileAttributeService" ref="profileAttributeService" />
    <property name="objectPermissionService" ref="objectPermissionService" />
</bean>

<bean id="externalUserSetupProcessor"
    class="com.jaspersoft.jasperserver.api.security.externalAuth.processors.ExternalUserSetupProcessor"
    parent="abstractExternalProcessor">
    <property name="userAuthorityService">
        <ref bean="${bean.internalUserAuthorityService}" />
    </property>
    <property name="defaultInternalRoles">
        <list>
            <value>ROLE_USER</value>
        </list>
    </property>

    <property name="organizationRoleMap">
        <map>
            <!-- Example of mapping customer roles to JRS roles -->
            <entry>
                <key>
                    <value>ROLE_MY-NESTED-GROUP-NAME</value>
                </key>
                <!-- JRS role that the <key> external role is mapped to -->
                <value>ROLE_USER</value>
            </entry>
        </map>
    </property>
</bean>

<!--bean id="externalUserFolderProcessor" class="com.jaspersoft.jasperserver.api.security.externalAuth.processors.ExternalUserFolderProcessor" 
    parent="abstractExternalProcessor"> <property name="repositoryService" ref="${bean.unsecureRepositoryService}"/> 
    </bean -->

<!-- ############ JRS Synchronizer ############ -->

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

用于搜索多个特定 OU 的 LDAP 根查询语法的相关文章

如何使用 LDAP 进行 Ruby on Rails 身份验证？ [关闭]

Closed 此问题正在寻求书籍工具软件库等的推荐不满足堆栈溢出指南 help closed questions 目前不接受答案我正在开发一个网络应用程序并且我有一个使用的身份验证方法bcrypt gem它工作正常但我想将身份验
Active Directory UserPrincipal.Current.GetGroups() 返回本地组而不是 Web 服务器上的组

以下内容在我的本地开发盒上效果很好但是当我将其移动到网络服务器时它失败了甚至不会记录错误 public static List
Docker 容器中的 LDAP 身份验证

默认情况下当Docker容器启动时里面的用户是sudo I want 默认情况下将 sudo 用户锁定在容器中在容器中使用 LDAP 身份验证而不是默认身份验证当用户与映像一起提供时或者在容器运行时由 sudo 用户创建为此我
PHP LDAP 查询获取特定安全组的成员

我正在努力让 LDAP 查询工作来为我提供安全组的成员我们的活动目录结构设置为 DC domain DC co dc uk然后我们有一个名为公司用户的 OU 其中有一个用于 IT 和标准的 OU 在这些中我们创建了用户所以我被设置
使用 objectGUID 进行查询 - Spring LDAP 模板

我正在尝试获取存储并依次使用 objectGUID 来查询 Active Directory 为了获取用户属性我正在使用以下 public static class MyDnKeyValueAttMapper implements Att
Django Python - LDAP 身份验证

我目前正在研究 Django Python 我的目标是从 Ldap 目录对用户进行身份验证我确实有 python 代码来访问 ldap 目录并检索信息 Code import ldap try l ldap open ldap forum
使用 JNDI 添加 LDAP 条目

我正在尝试使用 JNDI 将条目添加到 LDAP 服务器我可以成功地从 LDAP 服务器读取条目但是当我尝试添加新条目时出现错误我检查了各种方法但都失败了 private String getUserAttribs String se
验证 LDAPS 连接的自签名证书

我想从 Linux Linux 3 2 0 4 amd64 1 SMP Debian 3 2 51 1 x86 64 GNU Linux 客户端到 Windows 2012 服务器建立安全的 ldap 连接 ldaps 以更改活动中的用户密
如何在复杂环境中使用 FQDN 获取 NETBIOS 域名

从完全限定的 Active Directory 域名获取 NETBIOS 域名有时是一项繁琐的任务我找到了一个很好的答案here https stackoverflow com a 13814584 1027551 然而在具有多个林的环
从 php 对 Active Directory/ISA 进行身份验证 [关闭]

Closed 这个问题需要多问focused help closed questions 目前不接受答案我有一个复杂的问题而且由于我真的不知道从哪里开始而加剧在过去的几年里我开发了许多基于 php Web 的系统当我构建它们时我
使用 PHP/COM/ADSI/LDAP 更改 AD 密码

我已经被这个问题困扰了好几天了我尝试了各种解决方案均无济于事请帮忙 Problem 我们有两个域控制器它们不属于我们的管理范围我们能够通过端口 389 上的 LDAP 进行连接但无法通过端口 636 安全连接我们正在开发一个系统
使用活动目录对 Intranet 站点上的用户进行身份验证

我建立了一个内联网站点它有自己的登录系统用户注册为新用户并使用其上的用户名密码登录该站点但是现在我想扩展它让 Intranet 站点使用现有的 ActiveDirectory 进行身份验证这就是我正在寻找的前进当用户
Delphi 如何与 Active Directory 集成？

我们需要使用 Delphi 7 验证 Microsoft Active Directory 上的用户最好的方法是什么我们可以有两种情况用户输入其网络用户名和密码其中用户名可能包括域然后我们检查活动目录是否是有效的活动用户或者我们
如何在 Android 的应用程序中使用 LDAP 身份验证？

我想在我们的应用程序中添加 LDAP 身份验证我在 Github 上搜索并找到了两个应用程序但它们无法连接到服务器通过ldap连接服务器的必要条件是什么查看 UnboundID SDK 他们有一个适用于 Android 的套件该应
无需域名即可登录 Azure Active Directory

我们希望使用 Azure Active Directory 作为面向外部的应用程序的用户存储目前我们的 MVC C 4 5 应用程序使用 WIF 正在通过被动联合对本地 ADFS 2 0 代理服务器进行身份验证我们希望将其移植
LDAP 过滤器用于区分名称

我使用以下代码成功查询 Active Directory 中的用户 filter objectCategory person samaccountname someusername fields array samaccountname m
UserPrincipal 相当于 DirectoryEntry.Invoke？

我正在更新与应用程序中的 AD 交互的代码当前代码使用ActiveDs接口我正在更改代码以使用 System DirectoryServices AccountManagement 命名空间我们的应用程序允许用户存储密码提示这存储在
检查rails devise ldap gem中的组成员身份，是否在yaml中？

我是否应该使用 ldap yml 文件来确保使用 ldap 进行身份验证的人拥有分配给他们的正确组以允许他们进入无论如何我都不是 AD 专业人士这让我很困惑什么是组和属性据我了解我们在 AD 中有一个用户他们有一个 samAc
1.2.840.113556.1.4.1941 (LDAP_MATCHING_RULE_IN_CHAIN) 存在性能问题？

LDAP 搜索有一些内置规则其中之一是LDAP MATCHING RULE IN CHAIN From MSDN https msdn microsoft com en us library aa746475 v vs 85 aspx 1
Active Directory 会员资格提供商 - 如何对此进行扩展？

我正在努力通过 AD Membership Provider 启动并运行 MVC 应用程序但在解决这个问题时遇到了一些问题我有一个基本配置设置并在我登录时工作电子邮件受保护 cdn cgi l email protection 密码

随机推荐

如何将 NSBezierPath 附加到 CAShapeLayer

我想知道是否有人可以帮忙基本上我下面有一些 Objective C 代码有谁知道如何将其附加到 Mac OS X 而不是 iOS 的 CAShapeLayer 上 Color Declarations NSColor fillColor
如何配置VSCode的Organize Imports顺序？

我想配置组织导入的顺序此刻它动了node modules相关的导入语句位于最顶部以及本地ts文件位于最底部 Normal import myFunction from myFunction import fs from fs cons
使 R 中 selectInput 的第一个元素闪亮显示为粗体

我希望将 selectInput 的第一个元素 1 设置为粗体颜色请帮忙 ui lt fluidPage selectInput select label h3 Select box choices c 1 2 3 4 server lt
clang 编译器的“-Weverything”选项包括什么以及它的记录在哪里？

clang 但不是 gcc 有一个 Weverything选项哪个appears包括诸如 Wpedantic 您可以在这里测试 https godbolt org z qcYKd1 https godbolt org z qcYKd1 请参
C语言中如何在字符串中插入多个字符

我想在C中的字符串中插入一些字符例子 char string 100 20120910T090000 我想让它像 2012 09 10 T 0900 00 到目前为止我的代码 void append char subject char i
Openshift：如何以非交互方式编辑 scc？

我正在尝试 openshift minishift 我发现自己必须运行 oc edit scc privileged and add system serviceaccount default router 这样我就可以暴露 pod 有没有
使用 Maven 构建动态 Web 项目

我是 Maven 的新手我用它在 Eclipse 中使用传统 jar 创建动态 Web 项目我下载了 Maven 并将其安装在我的 Windows8 系统上如文档中所示以及 Kepler 文档中列出的那样您不必在 Eclipse 上
Flutter Hive 保存自定义对象以及重新启动应用程序后消失的自定义对象列表

我正在使用Hive https pub dev packages hive 打包在我的项目中以在本地存储一些数据到目前为止一切都很好但现在我面临一个问题我有一个Custom Class其中还有一个字段与另一个字段Custom Cla
Servlet：response.setContentLength() 减慢下载速度

private void downloadAllRelease HttpServletRequest request HttpServletResponse response LoginToken tok getToken request
bin2dec 用于 Excel 中长度超过 10 位的数字

我有一个 28 位二进制数的 Excel 我需要将它们转换为十进制数字但函数 bin2dec 不适用于长度超过 10 位的数字谁能帮我这个使用以下公式来模拟BIN2DEC 函数 https support office com en
将参数传递给 python eval()

我正在做遗传编程框架我需要能够执行一些代表完整Python程序的字符串我正在使用Python 2 7 我有一个配置类其中定义了原始集可以说 class Foo def a self x return x def b self y r
无法复制默认 RDS 参数组

我想要复制默认 RDSPostgres参数组例如default postgres9 4但复制按钮呈灰色你如何复制它创建一个新的参数组并选择postgres 9 4作为参数组系列您的新组将是默认组的副本但您可以对其进行修改另请记住
删除numpy数组中某个值的元素一次

我想从 numpy 数组中删除具有特定值的元素但是如果有多个具有相同值的元素我只想删除一个出现的位置无论是哪一个那是 import numpy as np a np array 1 1 2 6 8 8 8 9 如何删除 8 中的一
ruby on Rails - 机架具有不同资源的多个来源

我正在使用rack cors gem 在我的rails 应用程序中实现CORS 但我不确定如何为不同的来源定义不同的资源我需要这样的东西 config middleware insert before 0 Rack Cors do all
显示嵌套 div 外部的元素，同时可见性保持隐藏

I want to achieve this Keep an eye on the top text Happy Fruit I want to be overlayed of the box while it s nested insid
Emacs 重复字符串 n 次

我正在学习 Emacs 中导航编辑的基础知识我很好奇如何完成以下任务在正常文本编辑模式下重复字符串 bla n 次假设我想重复五次以生成 bla bla bla bla bla 我试过 C u 5 bla 但命令在输入 b 后执行
注册 C# COM 对象，无需 RegAsm 的真实文件

我有一个奇怪的应用程序加载机制我有一个 boostrapping exe 文件其中包含所有其他 DLL 和应用程序本身的资源这些文件程序集是从资源中提取并按需加载的因为我正在附加到当前 AppDomain 的 Assemblyr
Rails：具有 has_and_belongs_to_many 的自连接方案？

我想创建一个结构Users有很多friends 也属于类User class User lt ActiveRecord Base has and belongs to many friends class name User end 我不需
如何使用kafka-python订阅多个kafka通配符模式的列表？

我使用带有通配符的模式订阅 Kafka 如下所示通配符代表动态客户 ID consumer subscribe pattern customer validations 这很有效因为我可以从主题字符串中提取客户 ID 但现在我需要扩展功
用于搜索多个特定 OU 的 LDAP 根查询语法

我需要运行一个 LDAP 查询来搜索根查询中的两个特定组织单位 OU 但我遇到了困难我尝试了下面的以下查询但都没有成功 OU Staff DC my DC super DC org OU Vendors DC my DC super D

用于搜索多个特定 OU 的 LDAP 根查询语法

用于搜索多个特定 OU 的 LDAP 根查询语法 的相关文章

随机推荐

热门标签

用于搜索多个特定 OU 的 LDAP 根查询语法的相关文章