Запрос LDAP на изменения

Question

Я нахожусь в проекте, где создается общий интерфейс LDAP для интеграции с LDAP-совместимым каталогом (Active Directory и т. Д.). Наш проект НЕОБХОДИМО реплицировать пользователей/группы (не пароли) из каталога LDAP в отдельную базу данных (я не буду вдаваться в причины этого здесь).

В какой-то период наш план заключается в запросе каталога через LDAP, выводе всей информации о пользователе/​​группе и синхронизации с тем, что у нас есть. Первый удар потребует, чтобы мы получили все, но последующие запросы могли быть намного эффективнее, если есть способ запросить все, что изменилось с момента последнего проверки.

Поддерживает ли LDAP этот тип типа «просто дайте мне то, что изменилось»? И если да, то каким будет выглядеть запрос LDAP?

Answer 1

Вы бы использовать что-то вроде этого:

(&(objectClass=User)(objectCategory=person)(whenChanged>=20160406000000.0Z)) 

Обратите внимание, что формат дата начинается с ГГГГММДДОМ.

Атрибут whenChanged не будет одинаковым на всех контроллерах домена, так как whenChanged сам не реплицируется, но он обновляется на каждом контроллере постоянного тока, поскольку любое изменение было произведено. См. here для объяснения этого.

Также обратите внимание, что действие входа пользователя в систему обновит дату whenChanged.