Desde que trabalhei nessa empresa, tivemos uma configuração muito básica do AD. Os usuários entram no CN do usuário e há algumas OUs para computadores, como desktops e servidores.
Recentemente, planejei um design mais abrangente para permitir configurações personalizadas do departamento GP (especificamente impressoras). Eu quero mover os usuários para UOs criados para cada departamento. Tudo parecia estar funcionando bem com base no meu teste, exceto por um aplicativo.
O JReport é um aplicativo de relatórios que possui uma configuração LDAP para importar usuários. Em seguida, implementa o SSO usando essas informações. Estamos trabalhando muito bem com nossas configurações atuais, mas na segunda eu movo um usuário de CN = Usuários para OU = XYZ eles não podem mais se autenticar.
Aqui está uma captura de tela das configurações do aplicativo:
Como você pode ver, é uma configuração bem simples. Se eu testar a conexão, o gerenciador de diretórios terá acesso. Se eu consultar usuários, posso ver os usuários que estão na nova UO. Mas se eu tentar acessar um relatório, não funciona. Mesmo se eu inserir as credenciais manualmente.
Então, eu acho que a minha pergunta é: alguém pode pensar em algum motivo que mover um usuário para uma nova UO poderia quebrar isso?
Sniff o tráfego LDAP durante uma tentativa de autenticação para ver o que está realmente fazendo. Essa é a melhor maneira de descobrir isso.
Eu vou sair em um membro e especular um pouco. Já que você fala sobre isso "importando" usuários, eu me pergunto se não está mantendo algum registro persistente do DN antigo do usuário e, quando você move o usuário, o novo DN não está sendo consultado durante o processo de autenticação.
Os grupos também estão sendo removidos do CN dos usuários?
Não tenho certeza do que a cn=users sob Group Schema estaria fazendo no contexto do mapeamento e filtragem de campo que deveria estar fazendo ... mas talvez seja um DN base para grupos em relação à base global DN ("Entrada Root") que está definido para o diretório?
Isso faria mais sentido como um mapeamento de atributo, caso em que deveria ser distinguishedName (e enquanto estamos nisso, "Group Member Type" deve ser member se eu estiver interpretando suas palavras corretamente).
Tente preencher o nome distinto do grupo supondo que seja um DN base e veja se isso leva você a algum lugar.
Tags ldap active-directory