Запрос LDAP для Window AD

Question

Для аутентификации в Jitsi Meet мы хотели бы прочитать группу Windows AD с помощью ldap-запроса. К сожалению, наш запрос ldap не работает.

LDAP_URL=ldaps://server.domain.local:636/
LDAP_BASE=DC=domain,DC=local
LDAP_BINDDN=CN=bind_user,OU=Administrative Accounts,OU=Benutzer,DC=domain,DC=local
LDAP_BINDPW=*

LDAP_FILTER= (&(|objectclass=user))(|(memberof=CN=group,OU=Jitsi,OU=Sicherheit,OU=Gruppen,DC=domain,DC=local)
(primaryGroupID=4989))

Ошибка должна быть связана с фильтром, он работает с фильтром LDAP_FILTER = (sAMAccountName =% u).

Вы можете сказать мне, что не так с нашим запрос.

Answer 1

Некоторые вещи выделяются для меня:

1. | перед objectClass не должно быть.
2. У вас есть две закрывающие круглые скобки после objectClass условие, но второе следует переместить в конец всего запроса.
3. Как ни странно, objectClass=user на самом деле будет включать другие объекты, а не только учетные записи пользователей (например, учетные записи компьютеров). Если вы хотите фильтровать только пользовательские объекты, вы должны использовать оба (objectClass=user)(objectCategory=person). Но это будет иметь значение только в том случае, если у вас есть другие типы объектов в качестве членов этой группы.
4. Возможно, это просто ошибка при вставке в вопрос, но перед (primaryGroupID=

Это должно выглядеть так:

LDAP_FILTER=(&(objectclass=user)(objectCategory=person)(|(memberof=CN=group,OU=Jitsi,OU=Sicherheit,OU=Gruppen,DC=domain,DC=local)(primaryGroupID=4989)))

Это означает: найти все пользовательские объекты, которые являются членами этой группы или иметь идентификатор основной группы 4989.