Аутентификация вложенных групп в LDAP
Записи TXT являются текстовыми записями свободной формы и могут использоваться для вещей как описание хостов. Может также использоваться для специализированных целей, как DNSBL и SPF. В наше время они широко используются для выполнения обеих этих целей.
Записи SRV являются служебными книжками и являются своего рода расширением записей MX и немного более сложны, чем записи TXT. В то время как записи MX используются для определения, какие серверы обработают электронную почту для определенного домена, давая различные веса различным записям, записи SRV используются для обеспечения вещей, таких как протокол и порт. Запись SRV имеет следующую форму:
_Service._Proto.Name TTL Class SRV Priority Weight Port Target
Сервис: символьное имя желаемого сервиса.
Первичный: транспортный протокол желаемого сервиса; это обычно - или TCP или UDP.
Имя: доменное имя, для которого эта запись допустима.
TTL: стандартное поле времени жизни DNS.
Класс: стандартное поле класса DNS (это всегда находится В).
Приоритет: приоритет целевого узла, нижнее значение означает более предпочтительный.
Вес: относительный вес для записей с тем же приоритетом.
Порт: порт TCP или UDP, на котором должен быть найден сервис.
Цель: каноническое имя хоста машины, предоставляющей услугу.
Один типичный пример использования записей SRV при использовании протокола XMPP. Например, если бы у Вас есть домен foobar.com, запись использовалась бы для определения серверов, где веб-контент, и записи SRV использовались бы для определения, где сервер XMPP. Как правило, они будут расположены в различных адресах.
Больше информации о SRV записывает здесь.
Какое приложение вы пытаетесь настроить.
Подавляющее большинство приложений, которые имеют некоторый уровень поддержки LDAP в качестве клиента LDAP, просто не поддерживают вложенные группы.
Коротко модификации программного обеспечения, вам может не повезти.
Если ваш сервер LDAP является Microsoft Active Directory, то есть нестандартный фильтр поиска, который может вам помочь.
См.: - http://support.microsoft.com/kb/914828 - http://msdn.microsoft.com/en-us/library/windows/desktop/aa746475 (v = vs.85) .aspx
LDAP_MATCHING_RULE_IN_CHAIN - это OID правила сопоставления, разработан, чтобы предоставить метод для поиска происхождения объекта. Многие приложения, использующие AD и AD LDS, обычно работают с иерархическими данные, которые упорядочены родительско-дочерними отношениями. Ранее приложения выполнили транзитивное расширение группы, чтобы определить группу членство, которое использовало слишком большую пропускную способность сети; приложения необходимы чтобы сделать несколько обходов, чтобы выяснить, упал ли объект "в
Вы создадите список всех авторизованных пользовательских объектов, затем сравните отличительное имя аутентифицирующего пользователя, чтобы увидеть, есть ли оно в списке авторизации.
База и область поиска предназначены для ограничения области попыток поиска объектов; вы захотите использовать местоположение, в котором есть все, на что вы смотрите.
What application are you trying to configure.
There large majority of application that have some level of LDAP support as an LDAP client, simply have no support for nested groups.
Short of modifying the software, you may be out of luck.
If your LDAP server happens to be Microsoft Active Directory, then there is a non-standard search filter, that may help you.
See: - http://support.microsoft.com/kb/914828 - http://msdn.microsoft.com/en-us/library/windows/desktop/aa746475(v=vs.85).aspx
The LDAP_MATCHING_RULE_IN_CHAIN is a matching rule OID that is designed to provide a method to look up the ancestry of an object. Many applications using AD and AD LDS usually work with hierarchical data, which is ordered by parent-child relationships. Previously, applications performed transitive group expansion to figure out group membership, which used too much network bandwidth; applications needed to make multiple roundtrips to figure out if an object fell "in the chain" if a link is traversed through to the end.