Как составить фильтр LDAP по DistinguishedName?

Question

[MODifikaTOR]

Второй день ломаю голову и не могу найти нужную информацию. Мне нужно в запросе к домену исключить несколько вложенных OU и получить остальные OU вместе с пользователями. Я почитал про составление фильтров в LDAP и составил свой. Фильтр "только для пользователей" работает:

$filter = "(&(objectCategory=person)(objectclass=user))";
$dn = "dc={$adServerShort},dc=local";
$result = ldap_search($ldap, $dn, $filter);
$info = ldap_get_entries($ldap, $result);
foreach($info[0] as $item) {
    echo "<pre>";
    print_r($item);
    echo "</pre>";
}

А если я добавляю к нему фильтр по dn, то фильтр ломается:

$filter = "(&(objectCategory=person)(objectclass=user)(dn=&(!(*OU=OFF_User*))(!(*OU=Service*))))";

При этом, когда я вывожу информацию о пользователе, то свойство `dn` отображается. Как я могу составить фильтр так, чтобы можно было исключить несколько OU из запроса?

Comments

[Владимир Юрченков]

А что в итоге то хотите видеть? Атрибуты пользователя грузить?

[MODifikaTOR]

Владимир Юрченков, да, на выходе мне нужен массив учёток пользователей с атрибутами

[Valentin Barbolin]

dn - это не атрибут, его не получится добавить в фильтр. Ты можешь разделить свой запрос на несколько указывая отдельный dn (путь) или обработать запросы по факту исключив пользователей из ненужных OU.

Можешь попровать так
(distinguishedName=(&(!(*OU=OFF_User*))(!(*OU=Service*)))

[MODifikaTOR]

Andrey Barbolin, первый вариант фактически не подходит, т.к. OU могут появляться новые. В качестве второго, насколько я понял, вы предлагаете получать полный массив пользователей и затем на его основе формировать отфильтрованный массив?

[Владимир Юрченков]

MODifikaTOR, ну по идеи вы должны запросить пользователя, а потом уже запросить по нему атрибуты. В АД, то что вы хотите сделать, одним фильтром не получится.
У себя в программе, я делаю поиск по фио или логину, а потом гружу все нужные атрибуты.

[MODifikaTOR]

У себя в программе, я делаю поиск по фио или логину, а потом гружу все нужные атрибуты.

Владимир Юрченков, если я правильно понял, своим примером вы предлагаете мне первым запросом получать логин и dn пользователя и затем получать атрибуты пользователей в отфильтрованном списке?

[Владимир Юрченков]

MODifikaTOR, я не знаю до конца, что у вас по итогу на выходе и в каком виде должно быть + я не знаю, о каком количестве пользователей идет речь.

Например, в PowerShell вы можете выгрузить много пользователей сразу с атрибутами. Возможно вот вам ответ.

У просто писал свой аналог Active Directory(где выводил более информативно инфу), а как это делал, писал выше.

[Владимир Юрченков]

MODifikaTOR, старая версия, но что получилось.

[Valentin Barbolin]

MODifikaTOR, Да полный масив пользователей, потом отфильтровать ненужных.

(distinguishedName=(&(!(*OU=OFF_User*))(!(*OU=Service*)))

Этот вариант пробовал?

Вообще странный у тебя подход. Если ты используешь ldap для предоставления доступа к сервису, то правильнее создать группу в нее добавить пользователй и потом использовать данную группу в фильтре.

Answer 1

[MODifikaTOR]

Составил алгоритм, который получает полный список учёток в домене и затем из него формирует отфильтрованный список без учёток в указанных OU