Articles

kuinka kirjoittaa LDAP – hakusuodattimet

by admin 25 lokakuun, 2021

Platform Notice: Server and Data Center only-tämä artikkeli koskee vain Atlassianin tuotteita palvelin-ja datakeskusalustoilla.

tarkoitus

tässä asiakirjassa hahmotellaan, miten voit rakentaa kehittyneemmän suodattimen Käyttäjäobjektisuodattimen ja Ryhmäobjektisuodattimen attribuuteille LDAP-määrityksessäsi Atlassian-sovelluksille.

mikä on suodatin

suodattimia voidaan käyttää rajoittamaan niiden käyttäjien tai ryhmien määrää, joilla on lupa käyttää sovellusta. Pohjimmiltaan suodatin rajoittaa sitä, mistä LDAP-puun osasta sovellus synkronoituu.

suodatin voidaan ja tulee kirjoittaa sekä käyttäjä-että ryhmäjäsenyydelle. Tämä varmistaa, että et täytä sovelluksen käyttäjille ja ryhmille, jotka eivät tarvitse pääsyä.

ratkaisu

suodatinta rakennettaessa on parasta valita yhteinen attribuutti käyttäjistä, jotka haluat sallia sovelluksen käytön. Tämä on useimmiten attribuutti, joka ilmaisee ryhmän jäsenyyttä tai objektiluokan, kuten ”Person”

tip/lepo Created with Sketch.

ryhmän jäsenyyttä ilmaiseva attribuutti ei ole yhteinen kaikille LDAP: n makuille. Esimerkkejä tästä attribuutista voi olla ” groupMembership ”tai”Member”

miten täsmään useampaan kuin yhteen attribuuttiin?

esimerkiksi, jos käyttäjäni erotetaan siitä, että heillä on kaksi objectClass-määrettä (toinen vastaa ”henkilöä” ja toinen ”käyttäjää”), näin minä vastaisin sille:

(&(objectClass=person)(objectClass=user))

huomaa ampersand symbol '&' symboli alussa. Käännetty tämä tarkoittaa: etsi objectClass=henkilö ja object=käyttäjä.

vaihtoehtoisesti

(|(objectClass=person)(objectClass=user))

käännettynä tämä tarkoittaa: search for objectClass=person tai object=user.

pipe symbol '|' tarkoittaa ”tai”. Koska kyseessä ei ole erityinen XML-merkki, sen ei pitäisi tarvita pakenemista.

Jokerit

(&(objectClass=user)(cn=*Marketing*))

tämä tarkoittaa: Etsi kaikki merkinnät, jotka ovat objectClass=käyttäjä ja cn, joka sisältää sanan ”markkinointi”.

kärki / lepo luoma Sketsillä.

yleismerkkejä ei tueta käytettäessä suodattimia käyttäen! (tai ei) loogiset operaattorit. Katso alla

(varoitus) LDAP-palvelut eivät itse tue yleismerkkejä memberOf attribute ja muita tunnettuja nimiä Ldapfilteriä perustettaessa.

miten täsmään 3 attribuuttia?

Lisää vain ylimääräinen lauseke:

(&(objectClass=user)(objectClass=top)(objectClass=person))

lisälausekkeita voidaan lisätä myös useammalle kuin kolmelle attribuutille.

erotettujen nimien täsmäävät osat

kärki / lepo luotu Sketsilla.

koska Microsoft Active Directory ei toteuta extensible matchingia, seuraavat esimerkit eivät toimi sen kanssa.

saatat haluta sovittaa osan DN: stä, esimerkiksi silloin, kun sinun täytyy etsiä ryhmiäsi palvelimen kahdesta alatyypistä.

(&(objectClass=group)(|(ou:dn:=Chicago)(ou:dn:=Miami)))

löytää ryhmiä, joiden DN: n ou-komponentti on joko ”Chicago” tai ”Miami”.

käyttämällä ilmaisua ” ei ”

sulkemaan pois yksiköt, jotka vastaavat ilmaisua, käytä”!’.

(&(objectClass=group)(&(ou:dn:=Chicago)(!(ou:dn:=Wrigleyville))))

löytää kaikki Chicagon ryhmät paitsi ne, joissa on Wrigleyville OU-komponentti.

huomaa ylimääräiset sulut: (!(<lauseke>))

huomaa, että jos käytetään ” ei ” (ts. ’!”objektien poissulkemiseksi) se on esitettävä oliona”!’in your XML file if you are using Confluence 3.4 or below.

Yhtymäkohdalle 3.4 ja alla, Kun olet rakentanut hakusuodattimen käyttämällä tätä asiakirjaa, sinun täytyy paeta ampersand symboli ja huutomerkki symboli ennen lisäämistä XML-tiedoston. Niinpä esimerkiksi;

(&(objectClass=person)(!(objectClass=user)))

(&amp;(objectClass=person)(&#33;(objectClass=user)))

katso tätä ulkopuolista dokumentaatiota muista XML-merkeistä, jotka tarvitsevat pakenemista.tulee

Näytesuodattimet

nämä suodattimet on kirjoitettu Active Directorylle. Jotta niitä voidaan käyttää johonkin, kuten OpenLDAP, attribuutteja on muutettava.

Tämä synkronoi vain”Kapteeniplaneetta” – ryhmän käyttäjät-Tätä tulisi soveltaa Käyttäjäobjektisuodattimeen:

(&(objectCategory=Person)(sAMAccountName=*)(memberOf=cn=CaptainPlanet,ou=users,dc=company,dc=com))

ja tämä etsii tähän ryhmään kuuluvia käyttäjiä joko suoraan tai pesän kautta:

(&(objectCategory=Person)(sAMAccountName=*)(memberOf:1.2.840.113556.1.4.1941:=cn=CaptainPlanet,ou=users,dc=company,dc=com))

tärkeää, että active directorylla on jäsen:1.2.840.113556.1.4.1941, jos haluat löytää sisäkkäisiä ryhmiä (älä korvaa numeerista merkkijonoa) kapteeniplaneettaryhmän sisältä.

tämä etsii käyttäjiä, jotka kuuluvat mihin tahansa tai kaikkiin 4 ryhmään (tuli,tuuli,vesi, sydän)

(&(objectCategory=Person)(sAMAccountName=*)(|(memberOf=cn=fire,ou=users,dc=company,dc=com)(memberOf=cn=wind,ou=users,dc=company,dc=com)(memberOf=cn=water,ou=users,dc=company,dc=com)(memberOf=cn=heart,ou=users,dc=company,dc=com)))

kuvaus

tässä asiakirjassa hahmotellaan, miten rakentaa kehittyneempi suodatin Käyttäjäobjektisuodattimelle ja Ryhmäobjektisuodattimelle attribuutteja Atlassian-sovellusten LDAP-määrityksissä.

Product

Jira, Confluence, Bamboo, Bitbucket

Platform

Server

be settled