具有子域的组成员身份LDAP查询

我的域结构与此类似：

DC=us,DC=earth,DC=com
DC=uk,DC=earth,DC=com
DC=au,DC=earth,DC=com

每个域都有一个用户OU和一个组OU

每个域都有用户（美国、英国、澳大利亚）01至10，即us01、us02、…、uk01、uk02、，au01，au02

有一个小组：

cn=group1,ou=groups,DC=uk,DC=earth,DC=com

us01、uk01和au01是

cn=group1,ou=groups,DC=uk,DC=earth,DC=com.

我正在尝试运行LDAP查询以返回

cn=group1,ou=groups,DC=uk,DC=earth,DC=com

我相信基本DN为“DC=earth，DC=com”，过滤器为

memberof=cn=group1,ou=groups,DC=uk,DC=earth,DC=com" 

使用子树级别的作用域应该可以工作，但事实并非如此

我做错了什么？可能吗

我正在使用JXplorer进行测试

此外，我只能查询/返回包含在本地域中的对象，即，如果我使用earth.com作为基本DN，我只能“查看”返回的earth域中的对象。它似乎不能横穿子域。这正常吗

---

我也不能查看同级域中的对象，也就是说，当使用au域作为基本DN时，我看不到uk用户。我相信这是正确的，因为基本DN需要在其子树中有AD对象才能“看到”它们。这是否正确？

看起来您正在将要返回的属性包含在筛选器中。尝试只使用

cn=group1，ou=groups，DC=uk，DC=earth，DC=com

作为基础，范围为

base

，过滤器为

（*objectclass=*）

（这将使您直接进入您试图查询的组）。然后从搜索返回的条目中，获取包含成员列表的属性

至于您能够遍历哪些子域，这可能取决于应用于树的ACL（访问控制列表），也可能只是Jxplorer中的一个奇怪之处。依我看，Jxplorer是垃圾

---

是的，无论您使用的是什么工具，您都只能看到您定义为基本DN以下的条目。

由于您位于不同的域中，您需要能够追踪推荐。我不知道Jxplorer的功能，是否可以自动追踪推荐

正如Tim A所说，您需要确保您有权访问您试图访问的所有上下文。

---

-吉姆

可能太晚了，但我正试图解决同样的问题。我试图获取一个组的所有用户，但它什么也不返回，因为该组的所有用户都在子域下。微软技术支持部门表示“这是不可能的”。他们建议对每个子域执行搜索。链接如下

---

我还发现，如果网络上运行一个合适的全局编录服务器，那么通过一个查询就可以从所有子域获得结果。对于LDAP连接，使用端口3268而不是389可以查询具有所有子域树的全局编录。

抱歉，尝试正确格式化。显然失败了。你能提供你的搜索字符串吗？这就是你想要的吗？基本DN：（DC=earth，DC=com）过滤器：（memberOf=cn=group1，ou=groups，DC=uk，DC=earth，DC=com）您需要在段落之间以及常规文本和缩进文本之间放置一些空行……谢谢您，我将尝试这样做。只是想澄清一下，当您说我只能看到基本DN以下的对象时，您是指驻留在基本DN以下容器中的对象，而不是作为基本DN以下对象成员的对象吗？你推荐什么工具？我不知道你说的“对象是对象的成员”是什么意思。将目录视为一棵树，树的每个级别或分支都是一个条目，它可能包含属性本身，并且可能指向一个更具体的条目。我推荐的工具是ApacheDirectory Studio。