конфигурация активного каталога LDAP:
Key Value
--- -----
binddn CN=BindVault,OU=my-ou,DC=ad,DC=xyz,DC=net
case_sensitive_names true
certificate n/a
deny_null_bind true
discoverdn false
groupattr memberOf
groupdn DC=ad,DC=xyz,DC=net
groupfilter (&(objectClass=person)(sAMAccountName={{.Username}}))
insecure_tls false
starttls true
tls_max_version tls12
tls_min_version tls12
token_bound_cidrs []
token_explicit_max_ttl 0s
token_max_ttl 0s
token_no_default_policy true
token_num_uses 0
token_period 0s
token_policies []
token_ttl 0s
token_type default
upndomain n/a
url ldaps://ldaps.ad.xyz.net:636
use_pre111_group_cn_behavior true
use_token_groups true
userattr cn
userdn DC=ad,DC=xyz,DC=net
Это работает нормально, когда пользователь входит в систему, запрос возвращает группы, членом которых он является, и политики могут быть сопоставлены с группами.
Проблема в том, что пользователи не являются членами групп политики ldap.В настоящее время эти пользователи могут войти в систему, но им запрещен доступ ко всему, потому что им не назначены никакие политики.Я бы предпочел, чтобы они вообще не могли войти.