Вопросы Теги

Linux LDAP запрашивает к AD: пропавшие без вести элементов группы

Это означает сервер, Вы подключаетесь любому, не выделял время (я просто проверяю его, это хорошо работает в данный момент), или Ваша сеть не позволяет Вам говорить с ним на правильных портах. Возможно, Вы находитесь позади чрезмерно строгого брандмауэра?

2
задан 17 March 2014 в 23:58
2 ответа

Верно. Это прямые члены группы, а не вложенные.

Временным решением моей проблемы является использование административной учетной записи для выполнения запроса LDAP.

Каким-то образом определенные объекты AD не были доступны для чтения основной учетной записью, которую я использовал (LDAP учетная запись запроса не имела разрешения членство в группе чтения ) - добавление этого права к моей общей учетной записи запроса LDAP устранило проблему навсегда.

1
ответ дан 3 December 2019 в 11:43

Проблема не только в запросах Linux LDAP к Active Directory. Также происходит с LDAP-запросами Java и AD-запросами Powershell. В этих же случаях, для некоторых пользователей AD, не удаётся запросить член атрибута и получить какие-либо результаты. Опять же, учетная запись, используемая для запроса, не имела права на чтение членства в группе у соответствующих AD-пользователей.

Например, запрос пользователя "ptest" с AD следующим образом не дает результатов, если запрашивающий пользователь не имеет прав на пользовательский "ptest". (В противном случае обычно получается несколько строк, начинающихся с "CN" и показывающих группы, к которым принадлежит "вредитель").

Get-ADUser ptest -Properties * | Select-Object -ExpandProperty MemberOf
1
ответ дан 3 December 2019 в 11:43

Теги

Похожие вопросы