Возможны ли ссылки на пользователей Active Directory?

Question

[WSGlebKavash]

Некоторые приложения для работы с Active Directory используют не AD API, а взаимодействуют напрямую с LDAP. В результате пользователи должны быть в стандартном контейнере Users. Есть необходимость раскидать этих пользователей по подразделениям.
Как сделать, чтобы пользователь находился в контейнере cn=Users, и при этом был в каком либо подразделении?

Comments

[shurshur]

Ну вообще если запрос к LDAP делается правильно (scope=sub), то поиск ведётся по всей иерархии OU от указанной базы.

[Valentin Barbolin]

Кажется тебе стоит почитать документацию по приложению и найти способ как сменить или указать несколько контейнеров. Уверен, что эта информация есть в документации.

[WSGlebKavash]

Valentin Barbolin,

как сменить или указать несколько контейнеров

Postfix, Dovecot, Guacamole, SOGo и NextCloud используют search_base, base и base-dn. Возможно ли в эти поля указать несколько OU или весь каталог?

[Alexey Dmitriev]

Valentin Barbolin, не тот случай. Посмотрите на вопросы автора - сплошь и рядом подобные вопросы из-за нежелания читать и учиться понимать.

[Valentin Barbolin]

WSGlebKavash,
https://docs.nextcloud.com/server/22/admin_manual/...
В случае с nextlocud указываешь корень домена, потом группами ограничивашье доступ. Остальными сервисами из твоего списка я не пользовался, но аналогично настраивал redmine, moodle, jitsi, exim, bitrix.
dc=my-company,dc=com
или так
my-company.com

[Кот Абсолютный]

Alexey Dmitriev, спокойно, это Глеб :) Это его хобби - задавать странные вопросы и находить неочевидные решения очевидных вещей :)

[Кот Абсолютный]

WSGlebKavash, Возможно. Укажи область поиска поддерево (scope=sub) и корень дерева - и будет тебе поиск от корня во всех вложенных OU

Answer 1

[Alexey Dmitriev]

"В результате пользователи должны быть в стандартном контейнере Users". Нет, не должны.
LDAP позволяет указывать любой элемент структуры для начала поиcка, включая корень домена.
Хранить пользователей в Users - это вообще моветон, обычно создается отдельная структура OU.

Прямой ответ на странный вопрос - ссылки на пользователей в AD не возможны.

Comments

[WSGlebKavash]

Alexey Dmitriev,

Прямой ответ на странный вопрос - ссылки на пользователей в AD не возможны.

Перефразирую: Как сделать, чтоб на одного пользователя применились GPO двух OU?

Нет, не должны.

Postfix, Dovecot, SOGo используют base, search_base и т. д. Можно ли там указать несколько OU, или весь каталог?

[Alexey Dmitriev]

WSGlebKavash, могли бы вы уточнить, что во фразе "LDAP позволяет указывать любой элемент структуры для начала поиcка, включая корень домена" вам непонятно и что вас сподвигло задать вопрос "Можно ли там указать ... весь каталог?" ?

[Роман Безруков]

WSGlebKavash,

Как сделать, чтоб на одного пользователя применились GPO двух OU?

- навесить обе политики на OU с пользователем, либо навесить их на уровне домена и проверить наследование, либо одну политику наследовать с домена, а вторую явно навесить на OU

[Роман Безруков]

WSGlebKavash, а ещё можно пользователей просто добавить в группу безопасности и в LDAP-запросе проверять атрибут memberOf