LDAP Порушення при переміщенні користувача

2

З того часу, як я працюю в цій компанії, у нас були дуже базові установки AD. Користувачі переходять у користувацький CN і є кілька ОУ для комп'ютерів, таких як настільні та сервери.

Нещодавно я планував більш всебічний дизайн, щоб дозволити налаштування спеціальних налаштувань ГП (зокрема принтерів). Я хочу перенести користувачів у створені OU для кожного відділу. Здавалося, все працює нормально на основі мого тестування, за винятком однієї програми.

JReport - додаток для звітування, який має налаштування LDAP для імпорту користувачів. Потім він реалізує SSO, використовуючи цю інформацію. Працювали чудово з нашими поточними налаштуваннями, але вдруге я переміщую користувача з CN = Користувачі до OU = XYZ, вони більше не можуть перевірити автентифікацію.

Ось скріншот налаштувань програми: Налаштування

Як бачите, це досить проста установка. Якщо я перевіряю з'єднання, менеджер каталогів має доступ. Якщо я запитую користувачів, я можу побачити користувачів, які перебувають у новому OU. Але якщо я спробую отримати доступ до звіту, він не працює. Навіть якщо я введіть облікові дані вручну.

Тож я здогадуюсь, моє питання, чи може хтось подумати з якоїсь причини, що перехід користувача до нового ОУ порушить це?

active-directory ldap

— Норі
джерело

I want to move users into OU's created for each department- Я не знаю вашої організації, але це просто не буде працювати в багатьох організаціях, які я підтримую. Майже ніколи не існує ідеального відображення людей у відділи / програми / тощо. Я настійно пропоную вам розглянути стенди G in GP для GROUP . Спроба використовувати НУ як механізм групування призведе до дійсно некрасивої політики.

— Зоредаче

Без сумніву. Я зіткнувся з кількома людьми, які не дуже підходять. Я, мабуть, міг просто мати всіх у високому рівні, наприклад, як деякі місця роблять по одному для кожного місця. Але я в першу чергу їх сортував з принтерських причин. Практично всі налаштування будуть виконані на високому рівні. Я все ж бачу заслугу у вашій пропозиції. Я міг використовувати націлювання на рівні предметів і просто націлювати групи. Вигляд суперечки зараз, хоча, як це все зроблено і, здається, працює добре. Але я буду пам'ятати про це на майбутнє.

— Норі

5

Сніфікуйте трафік LDAP під час спроби аутентифікації, щоб побачити, що він насправді робить. Це найкращий спосіб зрозуміти це.

Я вийду на кінцівку і трохи спекулюю. Оскільки ви говорите про "імпорт" користувачів, мені цікаво, чи він не підтримує постійну запис старого DN користувача, і коли ви переміщуєте користувача, новий DN не запитується в процесі аутентифікації.

— Еван Андерсон
джерело

Я думаю, ти можеш мати рацію. Я лише перевірив видалення та повторне додавання свого акаунта, і воно спрацювало. Зробимо ще тест. Спасибі

— Норі

Спробував це ще на кількох рахунках, і це було все. Просто потрібно видалити імпортовані облікові записи, повторно імпортувати дані LDAP та повторно додати користувачів. Спасибі за вашу допомогу.

— Норі

2

Чи виводяться групи з користувачів CN також?

Я не впевнений , що cn=usersріч під Group Schemaробитиме в контексті відображення поля і фільтрації , що він повинен робити .. але , можливо , це базовий DN для груп по відношенню до глобальної базі DN ( «Root Entry») , який встановити для каталогу?

Було б більше сенсу як відображення атрибутів, і в такому випадку це повинно бути distinguishedName(і поки ми в ньому, "Тип члена групи" повинен бути, memberякщо я правильно інтерпретую їх формулювання).

Спробуйте звести вподобану назву групи з припущенням, що це базовий DN, і подивіться, чи це вам дістається десь

— Шейн Медден
джерело

Так, їх налаштування LDAP не дуже чітка, і документація залишає бажати кращого. З того, що я можу сказати, групова схема навіть не потрібна. Я хотів би встановити його на відмінну назву, оскільки це, мабуть, відбувається шляхом Microsoft. Однак ця програма підтримує лише старі характеристики, незважаючи на те, що вони були "в курсі" програмного забезпечення. Тож це насправді не здавалося, що це працює. Дякуємо за пропозиції.

— Норі