пользователей LDAP вложенного членство в группе в WebSphere

Question

IBM утверждает, что:

вложенной Уплотненные означают, что ответ от сервера LDAP к запросу для атрибута членства группы уже включает в себя любые вложенные групповых отношений, но не динамическое членство в группах. Если пользователь является членом группы «A2» и «A2», является членом группы «A1», , тогда список членства в группах включает в себя как A1, так и A2. Эта информация сообщает VMM, что даже если клиент запрашивает информацию вложенной группы , ответ уже предоставляет ее. Никакой дополнительной работы не требуется , который должен быть выполнен VMM для удовлетворения запроса.

Как я могу добиться этого в WebSphere (для подключения к Active Directory), так что если пользователь является членом А2 и А2 является членом группы А1, я хочу, чтобы пользователь как в A1 и A2.

Я вложенные группы включены в определении атрибута группы, однако, когда я просматриваю для пользователей, это только показывает их принадлежность к группе A2

Answer 1

конфигурация помогает VMM только знать, что, как ожидается, в атрибуте вернулся из сервер LDAP. VMM выполняет быстрый поиск членства, используя атрибут, предоставляемый LDAP, содержащий членство. Элемент конфигурации, в котором вы можете определить, является ли он вложенным, все или напрямую, помогает VMM иметь подсказку, если необходимо выполнить дальнейшие действия. Все зависит от значений, возвращаемых LDAP. В вашем случае Active Directory. Обычно это будет memberOf и от https://msdn.microsoft.com/en-us/library/ms677943%28v=vs.85%29.aspx

memberOf

The memberOf attribute is a multi-valued attribute that contains groups of which the user is a direct member, except for the primary 

группа, которая представлена ​​primaryGroupId. Принадлежность к группе является зависит от контроллера домена (DC), из которого этот атрибут извлекается:

At a DC for the domain that contains the user, memberOf for the user is complete with respect to membership for groups in that 

домен; однако memberOf не содержит членства пользователя в доменных локальных и глобальных группах в других доменах. На сервере GC memberOf для пользователя завершен в отношении всех членов универсальной группы.

If both conditions are true for the DC, both sets of data are contained in memberOf. 

Be aware that this attribute lists the groups that contain the user in their member attribute—it does not contain the recursive list 

Вложенные предшественники. Например, если пользователь вывода является членом группы C и группы В и группы В были вложены в группе А, memberOf атрибут пользователя O будут перечислены группы С и группы B, но не группу А.

This attribute is not stored—it is a computed back-link attribute. 

memberOf включает в себя только прямые элементы. В сочетании с сконфигурированной конфигурацией VMM проверяет только значения внутри memberOf и не выполняет никаких дополнительных вызовов LDAP.

Теперь у меня слишком много вариантов. Вы хотите иметь вложенные группы для роли J2EE или в вашем приложении, поскольку вы напрямую вызываете VMM с помощью API или или.Я не хочу спекулировать на то, чтобы оставить его с заявлением

memberOf возвращает членство в квартире, а также прямое членство, а VMM необходимо выполнить дополнительные вызовы, чтобы получить полную информацию. Установив вложенный VMM дополнительный вызов не будет

Answer 2

Вам необходимо переключиться с nested на direct, чтобы сообщить VMM о проведении дополнительных поисков, поскольку AD возвращает только прямые элементы. См. Locating user group memberships in a Lightweight Directory Access Protocol registry для более подробной информации.