Devido à forma como um software que usamos interage com o Unix, quando estou configurando um determinado aplicativo para interagir com o LDAP, eu preciso usar atributos Posix em vez de atributos LDAP normais.
Até agora, tudo que descobri é que, para authentication.ldap.groupObjectClass , devo usar posixgroup em vez de group e, para authentication.ldap.userObjectClass , usar posixuser em vez de user .
Minha pergunta é sobre coisas como authentication.ldap.groupMembershipAttr , que eu tenho que definir como member ou authentication.ldap.usernameAttribute , que defini como sAMAccountName . Existe alguma maneira de consultar meu esquema LDAP para ver minhas opções para essas configurações?
Desculpe se esta é uma pergunta ridícula. Eu sou um administrador do Hadoop e principalmente interajo com o Unix, então eu não tenho muita experiência com o LDAP, então eu definitivamente não tenho compreensão.
Deixe-me tentar dar mais alguns detalhes. Estamos configurando um proxy LDAP e, atualmente, há um bug nele, com a solução alternativa para usar as informações do posix.
Por exemplo, se eu usar o seguinte filtro de pesquisa (&(objectCategory=group)(sAMAccountName=groupname)) ocasionalmente, um caminho GUID, SID e CN / OU será enviado para os membros em vez de apenas CN = Usuário, OU = meu, OU = contêiner, DC = meu , DC = domínio
Se eu usar o filtro de pesquisa (&(objectclass=Posixgroup)(cn=groupname)) , a única coisa que aparece é o caminho CN / OU / DC correto e o erro não é encontrado. Essencialmente, estou tentando atualizar o Ambari (Serviço de gerenciamento do Hadoop) para usar as configurações de LDAP corretas que refletem o que é usado nesse filtro de pesquisa. Assim, quando os usuários são sincronizados, a sincronização não encontra o bug e falha.
Atributos e valores atuais de usuário / grupo
authentication.ldap.baseDn=DC=my,DC=domain,DC=com
authentication.ldap.bindAnonymously=false
authentication.ldap.dnAttribute=DC=my,DC=domain,DC=com
authentication.ldap.groupMembershipAttr=memberUid
authentication.ldap.groupNamingAttr=cn
authentication.ldap.groupObjectClass=posixgroup
authentication.ldap.managerDn=CN=username,OU=Application Accounts,DC=my,DC=domain,DC=com
authentication.ldap.managerPassword=/path/to/file
authentication.ldap.pagination.enabled=false
authentication.ldap.primaryUrl=my.ldap.proxy:389
authentication.ldap.referral=follow
authentication.ldap.secondaryUrl=my.ldap.proxy:389
authentication.ldap.useSSL=false
authentication.ldap.userObjectClass=posixuser
authentication.ldap.usernameAttribute=cn
Exemplo de string LDAP de grupo
CN=MYGROUP,OU=Groups,DC=my,DC=domain,DC=com
Exemplo de string LDAP do usuário
cn=username,ou=northamerica,ou=user accounts,dc=my,dc=domain,dc=c
om
O LDAP é um pouco complicado, portanto sem saber exatamente qual é o seu servidor de diretório ou para que serve isso, é um pouco fora do escopo ser capaz de recomendar exatamente o que você precisa, mas você pode tentar cn para authentication.ldap.usernameAttribute e memberUid para authentication.ldap.groupMembershipAttr