来自受信任域的用户的ldap查询问题
我对来自受信任域的用户的ldap查询有一些问题: 我有两个完全独立的域:来自受信任域的用户的ldap查询问题,ldap,ldap-query,Ldap,Ldap Query,我对来自受信任域的用户的ldap查询有一些问题: 我有两个完全独立的域: DomainA (dc=mycity, dc=mycompany, dc=local) 及 DomainB信托DomainA(单向)。 这两个域都已设置并由客户控制 DomainA有一个全局组“fs”,一些用户(例如,user1和user2,都是DomainA的成员)是该组的成员 DomainB有一个本地组“公司用户”,并且fs被添加为成员。 此本地组是另一个组的成员(例如“管理员”或“服务台”) 现在,当我查询Doma
DomainA (dc=mycity, dc=mycompany, dc=local)
及
DomainB
信托DomainA
(单向)。
这两个域都已设置并由客户控制
DomainA
有一个全局组“fs”
,一些用户(例如,user1和user2,都是DomainA的成员)是该组的成员
DomainB
有一个本地组“公司用户”
,并且fs
被添加为成员。
此本地组是另一个组的成员(例如“管理员”
或“服务台”
)
现在,当我查询DomainB
并且过滤器设置为(smaccountname=user1)
时,我不会得到任何结果。同样,当我查询所有成员时
(memberof=CN=companyusers,CN=users,dc=test,dc=somewhat,dc=local)
或
我仍然看不到属于DomainA的用户
[“CN=公司用户,CN=用户,dc=测试,dc=某种程度上,de=本地”
是使用执行查询时的路径
(&(objectClass=group)(name=companyusers))]
能够跨AD域执行LDAP查询的概念很复杂,并且有几个依赖项 要跨域执行LDAP查询,必须位于同一AD Forrest中,并且需要连接到 您可以使用以下LDAP查询查找承载全局编录的域控制器的可分辨名称:
(&(objectClass=nTDSDSA)(options:1.2.840.113556.1.4.803:=1))
即使如此,LDAP查询也将只包含工作组成员,除非所有成员都是通用组
最后,(LDAP_MATCHING_RULE_IN_CHAIN)过滤器只对基于可分辨名称的属性有效。您好,谢谢您的回答:)所以在我的情况下这是不可能的,因为有两个AD Forrest,它们之间是否存在信任关系?是的,DomainB信任DomainA,但只有一种方式。我查询DomainB,但用户是在DomainA中设置的。
(&(objectClass=group)(name=companyusers))]
(&(objectClass=nTDSDSA)(options:1.2.840.113556.1.4.803:=1))