是否有可能仅查询具有用户证书的用户的Active Directory？

Question

我想让我的用户在属于特定Active Directory组的情况下登录。我没有用户的CN或DN - 只是他们的证书。仅使用此证书可以获得Active Directory用户吗？

我知道我可以使用“userCertificate”属性为用户的证书执行ldap查询。但是，我想使用此属性为用户查询。沿线的东西：

(&(objectClass=user)(userCertificate=<user's certificate>)) 

这似乎不工作。

另一种方法可能是让我要找的组，然后获取并遍历组中的所有成员。我必须将提供的证书与每个AD用户的证书进行比较。这种方法并不理想，因为它对于拥有大量用户的用户群或拥有大量证书的用户来说效率不高。

任何建议将不胜感激。

Answer 1

我发现这是可能的，但它很慢。以下是语法：

(&(objectClass=user)(userCertificate;binary=\12\34\56\AB\CD\..)) 

证书需要格式化为十六进制，并且必须转义。

参考：http://comments.gmane.org/gmane.network.openldap.general/46598