可能重复:
What's the difference in using distinguished name with cn or uid when logging into LDAP?通配符在LDAP连接
我试图欺骗在用户的应用程序分成记录。我没有试图破解任何东西,我们购买了一个试图连接一些严格设置的应用程序。我试图让它工作。
基本上我必须定义搜索库:
ou=employees,ou=Main,o=mycompany
如果我尝试登录为JohnSmith对,它预设prends作为用户名UID像这样的搜索基础:
uid=johnsmith,ou=employees,ou=Main,o=mycompany
事实证明,Novell eDirectory使用cn作为可分辨名称(不是uid)。
有什么办法可以欺骗应用程序使用通配符?我希望这样的事情可能工作:
uid=*,cn=johnsmith,ou=employees,ou=Main,o=mycompany
但这不起作用。^
答案是否定的。的搜索请求需要以下参数:
服务器通过创建从base object开始的候选条目列表来处理请求。如果scope为subtree,从属于base object所有条目可能是候选人,如果scope为one,只有条目直接从属于base object被视为候选人,否则scope是base和候选仅仅是base object。该筛选器用于过滤候选项,即仅将filter声明评估为true的候选项返回给LDAP客户端。如果属性列表为空,则返回除操作属性外的所有属性。如果属性列表包含@objectClassName,则返回该条目中存在的所有或指定objectClass中允许的属性。如果属性列表是"1.1",则只有条目的可分辨名称才会返回给LDAP客户端("1.1"是无属性可匹配的OID),如果属性列表为"+",则所有操作属性均返回给客户端,否则返回给客户端请求的属性将返回给LDAP客户端。只有按名称明确请求时,符合LDAP的服务器才会返回操作属性。 time limit是可选的客户端请求的服务器应处理请求的时间限制。 size limit是可选的客户端请求的服务器应返回到LDAP客户端的条目数的限制。客户请求的参数不能覆盖服务器设置。 Controls是包含在搜索请求中的可选数据片段。有关搜索请求的更多信息,请参阅“Using ldapsearch”。
您的陈述“事实证明Novell eDirectory使用cn作为可分辨名称(不是uid)”。本身并不正确。
默认情况下,它使用属性CN作为命名属性。您可以在eDirectory中创建其命名属性为uid =的对象,但它不是默认值。
您可以通过LDIF将每个人都重命名为modrdn,即uid =他们当前的CN值。
我最初打算建议您将uid属性重新映射为LDAP服务器属性映射中的CN值。但一想到我不确定这是否会有所帮助。
由于您的应用没有搜索uid =某个值的用户,而是正在基于假设构建DN。
但你可以尝试,看看是否有帮助:
在您的LDAP服务器对象,(你应该使用iManager做出这种改变,ConsoleOne的snapins不再更新和支持)有指定的选项LDAP属性映射。
只需将eDirectory CN映射到LDAP uid即可。
另外,您是否知道如何在eDirectory服务器端使用DStrace来通过LDAP查询来查看事件?
(eDir serverIP:8008代表Netware,8028代表Linux或Windows/nds,然后跟踪配置,全部清除,启用LDAP)。
我认为引用问题的区别在于,这个问题有一个关于如何解决它的具体问题? – geoffc