Поиск по LDAP, как найти пользователей в группе?

Question

[Иван Веков]

Добрый день, есть АД, есть РНР приложение, которое умеет подключаться к АД черел ЛДАП, и тянуть юзеров.
И даже фильтровать по ФИО.

Но встала задача сделать фильтр по группе. Группу создали:

MyTest

Добавили туда двух юзеров, они ищутся по ФИО, но не по группе. Пытаемся делать такой фильтр:

"(&(|(sAMAccountName=*$str*)(givenName=*$str*)(sn=*$str*)(middlename=*$str*))(memberOf=CN=MyTest))"

Пробовали и так:
(memberOf=CN=MyTest,OU=Domain_users,DС=abt,DС=orl)

Comments

[Роман Безруков]

(&(objectCategory=user)(memberOf=CN=MyTest,OU=Domain_users,DС=abt,DС=orl))

- при таком фильтре что возвращается?

[Иван Веков]

Роман Безруков, пустота

[Роман Безруков]

Иван Веков, PHP у меня нет...но вот такой код PowerShell выполняется прекрасно и возвращает участников группы:

$Searcher = New-Object -TypeName System.DirectoryServices.DirectorySearcher -ErrorAction Stop
$DomainRoot = ([ADSISearcher]"").SearchRoot.Path
$Searcher.SearchRoot = $DomainRoot
$Searcher.PageSize = 1000
$Searcher.Filter = "(&(objectCategory=user)(memberOf=CN=FS-Exchange-M,OU=Groups,OU=mydomain,DC=mydomain,DC=loc))"
$Ask = $Searcher.FindAll()
$Ask

[MVV]

А у вас та точно работает часть, которая ищет по атрибутам, связанным с именем, без memberOf
И где именно вы ищете по группам? Если вы ищете в глобальном катлоге (порт 3268/3269), имейте в виду, что в него попадают только универсальные группы.
PS И не лучше ли не изобретать велосипед для поиска по атрибутам, связанным с именем, а использовать ambiguous name resolution, уже встроенную в AD (см. например https://windowsnotes.ru/activedirectory/ldap-filtr... )

[Иван Веков]

Да, поиск по атрибутам - работает.
Ищем через порты 389 или 636.
Когда используем memberOf - всегда получаем пустой результат выборки. Хотя в AD видим что пользователи в группе есть. Ну то есть такой фильтр:
(memberOf=CN=MyTest,OU=Domain_users,DС=abt,DС=orl)
Не отрабатывает корректно.

По ссылке что вы скинули - такие же фильтры как у нас и используются, и по sAMAccountName нашел и по memberOf. И написаны также как у нас, но у нас не работает почему то...

Еще вот не понял, может вы знаете. В примерах указан вариант:
(memberOf:1.2.840.113556.1.4.1941:=CN=BackOffice,CN=Users,DC=test,DC=local)
Что это за цифры, где они берутся и для чего?)

[Роман Безруков]

Иван Веков, (memberOf:1.2.840.113556.1.4.1941:=CN=BackOffice,CN=Users,DC=test,DC=local)
это LDAP-фильтр для определения групп пользователя, учитывая вложенность групп
Active Directory: LDAP Syntax Filters

[Иван Веков]

Роман Безруков, подумал было, что это то, что нас спасет, попробовали фильтр:

(memberOf:1.2.840.113556.1.4.1941:=CN=CplLdapTest,OU=Domain_users,DС=abt,DС=orl)

Вернуло пустоту...

[Роман Безруков]

Иван Веков, задам тупой вопрос - сама группа (без участников) и ее свойства возвращаются запросом? в системных логах что-то есть?

[Иван Веков]

Роман Безруков, Ага, возвращается.
В системных логах ничего интересного не замечали, просто ходят запросы, ошибок или чего-то еще не найдено

[Роман Безруков]

Иван Веков, вдруг поможет - https://copyprogramming.com/howto/php-ldap-how-to-...