Dois servidores Linux diferentes (CentOS e Ubuntu) na minha LAN não podem ver determinados membros de um grupo do AD ao realizar uma consulta LDAP.
Estamos configurando um aplicativo de software que pode usar o LDAP para autenticação. Para limitar o número de usuários internos que podem acessar o appliance, criei um grupo 'filetransfer' em nosso AD e adicionei 8 usuários a ele.
Eu tentei executar a seguinte consulta LDAP com o CentOS 6.5 e o Ubuntu 12.04.4:
ldapsearch \
"(memberof=CN=FileTransfer,OU=Security Groups,DC=domain,DC=local)" \
dn -x -W -D 'cn=ldapquery,ou=user accounts,dc=domain,dc=local' -LLL
E aqui estão os resultados:
dn: CN=Eva ,OU=User Accounts,DC=domain,DC=Local
dn: CN=Simon ,OU=User Accounts,DC=domain,DC=Local
dn: CN=Eric ,OU=User Accounts,DC=domain,DC=Local
dn: CN=Ronald ,OU=User Accounts,DC=domain,DC=Local
# refldap://ForestDnsZones.domain.Local/DC=ForestDnsZones,DC=domain,DC=Local
# refldap://DomainDnsZones.domain.Local/DC=DomainDnsZones,DC=domain,DC=Local
# refldap://domain.Local/CN=Configuration,DC=domain,DC=Local
O grupo AD contém 8 membros, mas a consulta LDAP está retornando apenas 4.
Eu deletei e recriei o grupo; sem alegria.
Eu adicionei novas contas de usuário de teste ao grupo e elas não aparecem mesmo depois de deixar as coisas no fim de semana.
Eu sei que o domínio está sendo sincronizado corretamente, porque assim que eu removo um dos usuários 'visíveis' - a consulta LDAP reflete a alteração em ambos os servidores Linux.
Alguém pode explicar essa estranheza?
Correto. Estes são membros diretos do grupo - não aninhados.
Uma solução temporária para o meu problema é usar uma conta administrativa para fazer a consulta LDAP.
De alguma forma, determinados objetos do AD não eram legíveis pela conta genérica que eu estava usando (a conta de consulta LDAP não tinha a permissão read group membership ) - adicionar esse direito à minha conta de consulta LDAP corrigiu o problema permanentemente.
O problema não é apenas as consultas LDAP do Linux ao Active Directory. Também ocorre com consultas Java LDAP e Powershell AD. Nesses casos também, para determinados usuários do AD, não foi possível consultar o atributo member of e obter resultados. Novamente, a conta que está sendo usada para a consulta não tinha a permissão leitura da associação do grupo nos usuários do AD em questão.
Por exemplo, consultar o usuário "ptest" com o AD da seguinte forma não fornece resultados se o usuário que faz a consulta não tiver as permissões corretas no usuário "ptest". (Caso contrário, normalmente obteria um número de linhas começando com "CN" mostrando grupos aos quais "ptest" pertence).
Get-ADUser ptest -Properties * | Select-Object -ExpandProperty MemberOf
Tags ldap active-directory