Итак, у меня есть:
- (корневой) домен
lab.local с пользователем test1@lab.local.
- Субдомен
inner.lab.local с группой testers (CN=testers,OU=Groups,OU=Domain Resources,DC=inner,DC=lab,DC=local).
- В этом поддомене я создал пользователя
test2@inner.lab.local.
- Я добавил
test1@lab.local и test2@inner.lab.local в testers группу
- В поддомене я создал запрос
(&(objectCategory=user)(memberOf=CN=testers,OU=Groups,OU=Domain Resources,DC=inner,DC=lab,DC=local))
Вышеупомянутый запрос возвращает только test2@inner.lab.local (не принимает участника из корневого домена: test1@lab.local).
Я знаю, что причина в том, что это не глобальный каталог (он помечен как universal), таким образом, (...) membership in groups from other domains will not be listed (...)
Есть ли какие-то решения для этого? Могу ли я что-нибудь сделать, чтобы получить их обоих?
EDITED (точнее):
Здесь в корневом домене mylab.local (192.168.1.168) мы можем видеть пользователя John с userPrincipalname, установленным на john@mylab.local:
Здесь мы можем увидеть поддомен inner.mylab.local (192.168.1.169). Здесь у нас есть группа testers в OU, которая называется Groups. Как видите, в этом домене у нас определен пользователь mike. Оба пользователя mike (из inner.mylab.local) и john (из mylab.local) являются членами группы testers:
Моя цель - получить обоих пользователей по имени группы. Благодаря ответу г-на Марцина, я знаю, что мне нужно запросить глобальный каталог в дочернем домене . Но при подключении к поддомену через порт 3268:
и опрошенных пользователей, я получил только один от поддомен:
Когда я получу всю группу, вот так:
Я вижу оба. Но мне нужен каждый атрибут пользователя userPrincipalName. Так что даже если я сделаю второй запрос, чтобы получить информацию о каждом пользователе из другого домена, я не смогу получить информацию о пользователе:
Так что же я делаю не так, что не могу получить пользователя john (из другого домена) при запросе глобального каталога в дочернем домене?
Редакция:
Я использую java и LdapTemplate.