LDAP: получение записей из нескольких подразделений в одном запросе

Question

попытаться получить записи objectClass 'groupOfNames' из нескольких OU из LDAP.Моя схема выглядит следующим образом:

ou=gp,ou=gruppen,dc=some,dc=my-company,dc=at
|
|-ou=99 (objectClass=organizaionalUnit)
   |-cn=admins (objectClass=groupOfNames)
   |-cn=managers (objectClass=groupOfNames)
|-ou=103 (objectClass=organizaionalUnit)
   |-cn=admins (objectClass=groupOfNames)
   |-cn=managers (objectClass=groupOfNames)
|-many more OUs
...

Теперь я пытаюсь создать запрос, с помощью которого я могу получить администраторов / менеджеров различных подразделений одним запросом.Внутри CN группы admins и manager содержат имена пользователей, которые принадлежат к этим группам.Один фильтр, который я придумал, был:

(cn=admins)

Это привело к возвращению мне всех CN всех OU:

Область поиска настроена на полное поддерево.Как я могу изменить этот фильтр, чтобы получать только записи от определенных OU, например ou = 212917 и ou = 211208, но не от других OU?Группы, которые я хочу выделить, в итоге выглядят так:

Или есть еще одна возможность реализовать это?Я довольно новичок в LDAP.

Answer 1

Можно использовать очень специфический фильтр для поиска только групп с cn=admins в определенных OUs.

(&(cn=admins)(|(ou:dn:=212917)(ou:dn:=211208)))

Обозначение означает поиск ou=212917в записи или части DN.Однако не все серверы поддерживают это, даже если это часть стандартных спецификаций LDAPv3.