Preciso usar o AD para autorização de algumas ferramentas on-line para facilitar o desenvolvimento de software em três países em uma grande empresa internacional.
As ferramentas da seção AD / LDAP têm uma linha para especificar um DN BASE e outra linha para aplicar um filtro de usuário.
O filtro de usuário padrão é: (& (objectCategory = Person) (sAMAccountName = *))
As pessoas que preciso alcançar estão localizadas nesses locais AD:
Cada uma das entradas da conta contém 4-5 camadas mais profundas e eu preciso de todas essas pessoas.
Se eu apenas definir o DN BASE como DC = MyCompany, DC = com (que é o que eu acredito que deveria ser) eu tenho mais de 250000 usuários retornados, dos quais apenas cerca de 2000 devem ter Acesso. :-( Minhas ferramentas armazenam em cache as entradas e leva muito tempo para sincronizar. : - (
Gostaria de usar um filtro mais específico para segmentar mais especificamente os locais.
Eu tentei todos os tipos de coisas, pesquisei alto e baixo e também perguntei aos desenvolvedores de ferramentas e ao nosso departamento de TI sobre como fazer isso, mas não encontrei nada remotamente utilizável.
Acredito que o filtro deva ser algo semelhante ao seguinte - exceto que agora conheço o memberOf verifica a associação de um grupo, não um local de hierarquia no AD
(&(objectCategory=Person)(sAMAccountName=*)
(|
(memberOf:=OU=Accounts,OU=Aarhus,OU=RS,OU=EMA,OU=AAA,DC=MyCompany,DC=com)
(memberOf:=OU=Accounts,OU=Atlanta,OU=RS,OU=AMR,OU=BBB,DC=MyCompany,DC=com)
(memberOf:=OU=Accounts,OU=Xian,OU=COR,OU=AP,OU=CCC,DC=MyCompany,DC=com)
)
)
E só para esclarecer, não é possível criar (e manter atualizado) um grupo de todas as pessoas e sub-locais que devem ter acesso.
Aguardo ansiosamente suas sugestões ...
Nota: Esta é a minha primeira exposição ao AD / LDAP, então eu provavelmente esqueci de algo nesta explicação - por favor, tente preencher os espaços em branco. Obrigado.
Tags ldap active-directory