Estamos vendo um problema estranho na consulta LDAP do Active Directory.
A situação é: Temos um grupo de segurança em uma determinada UO. Esse grupo de segurança precisa mudar para uma UO totalmente diferente .
Temos um aplicativo que usa LDAP para autenticar no AD e consulta usando o Active Directory LDAP_MATCHING_RULE_IN_CHAIN , para que ele suporte grupos incorporados:
(memberOf:1.2.840.113556.1.4.1941:=CN=SystemAdministrators,OU=SA Users,OU=System Administrators,OU=Departments,DC=ds,DC=example,DC=com)
Uma consulta de exemplo seria:
ldapsearch -LLL -x -W -H 'ldap://ny-dc02.ds.example.com:389' -D '[binding account details]' -b 'OU=Departments,DC=ds,DC=example,DC=com' '(memberOf:1.2.840.113556.1.4.1941:=CN=SystemAdministrators,OU=SA Users,OU=System Administrators,OU=Departments,DC=ds,DC=example,DC=com)' dn
Ele retorna uma lista completa de usuários que pertencem à UO solicitada - conforme o esperado.
No entanto, se movermos esse grupo de Departments\System Administrators para Security Groups\System Administration (e atualizaremos a consulta adequadamente):
(memberOf:1.2.840.113556.1.4.1941:=CN=SystemAdministrators,OU=System Administration,OU=Security Groups,DC=ds,DC=example,DC=com)
por exemplo:
ldapsearch -LLL -x -W -H 'ldap://ny-dc02.ds.example.com:389' -D '[binding account details]' -b 'OU=Security Groups,DC=ds,DC=example,DC=com' '(memberOf:1.2.840.113556.1.4.1941:=CN=SystemAdministrators,OU=System Administration,OU=Security Groups,DC=ds,DC=example,DC=com)' dn
Não obtemos resultados retornados da Pesquisa do LDAP.
Nosso primeiro pensamento foi "Ah, provavelmente está fazendo cache de algo". Mas deixamos o grupo de segurança em sua nova OU por várias horas e ainda vimos os mesmos resultados.
Alguém viu algo assim antes? Alguma sugestão sobre onde solucionar o problema a seguir?
A base de pesquisa deve ser definida para onde o USUÁRIO está localizado, em vez de onde o grupo está (a localização do grupo já está incluída na opção). Portanto, independentemente de onde o grupo esteja, sua base de pesquisa deve permanecer igual (se o usuário não foi movido).
E quanto às permissões. O aplicativo tem permissão para pesquisar na nova UO? Eu olharia para os direitos efetivos nas UOs antigas e novas.
Além disso, confirmo que o novo local é, na verdade, uma UO. é possível criar objetos "Contêiner" no AD, da mesma forma que o contêiner "Usuários" não é uma UO. Como tal, o DN mudaria de: CN = SystemAdministrators, OU = Administração do Sistema, OU = Grupos de Segurança, DC = ds, DC = exemplo, DC = com para: CN = SystemAdministrators, CN = Administração do Sistema , OU = Grupos de Segurança, DC = ds, DC = exemplo, DC = com
Tags ldap active-directory