kuinka kirjoittaa LDAP – hakusuodattimet
Platform Notice: Server and Data Center only-tämä artikkeli koskee vain Atlassianin tuotteita palvelin-ja datakeskusalustoilla.
tarkoitus
tässä asiakirjassa hahmotellaan, miten voit rakentaa kehittyneemmän suodattimen Käyttäjäobjektisuodattimen ja Ryhmäobjektisuodattimen attribuuteille LDAP-määrityksessäsi Atlassian-sovelluksille.
mikä on suodatin
suodattimia voidaan käyttää rajoittamaan niiden käyttäjien tai ryhmien määrää, joilla on lupa käyttää sovellusta. Pohjimmiltaan suodatin rajoittaa sitä, mistä LDAP-puun osasta sovellus synkronoituu.
suodatin voidaan ja tulee kirjoittaa sekä käyttäjä-että ryhmäjäsenyydelle. Tämä varmistaa, että et täytä sovelluksen käyttäjille ja ryhmille, jotka eivät tarvitse pääsyä.
ratkaisu
suodatinta rakennettaessa on parasta valita yhteinen attribuutti käyttäjistä, jotka haluat sallia sovelluksen käytön. Tämä on useimmiten attribuutti, joka ilmaisee ryhmän jäsenyyttä tai objektiluokan, kuten ”Person”
ryhmän jäsenyyttä ilmaiseva attribuutti ei ole yhteinen kaikille LDAP: n makuille. Esimerkkejä tästä attribuutista voi olla ” groupMembership ”tai”Member”
miten täsmään useampaan kuin yhteen attribuuttiin?
esimerkiksi, jos käyttäjäni erotetaan siitä, että heillä on kaksi objectClass-määrettä (toinen vastaa ”henkilöä” ja toinen ”käyttäjää”), näin minä vastaisin sille:
(&(objectClass=person)(objectClass=user))
huomaa ampersand symbol '&'
symboli alussa. Käännetty tämä tarkoittaa: etsi objectClass=henkilö ja object=käyttäjä.
vaihtoehtoisesti
(|(objectClass=person)(objectClass=user))
käännettynä tämä tarkoittaa: search for objectClass=person tai object=user.
pipe symbol '|'
tarkoittaa ”tai”. Koska kyseessä ei ole erityinen XML-merkki, sen ei pitäisi tarvita pakenemista.
Jokerit
(&(objectClass=user)(cn=*Marketing*))
tämä tarkoittaa: Etsi kaikki merkinnät, jotka ovat objectClass=käyttäjä ja cn, joka sisältää sanan ”markkinointi”.
yleismerkkejä ei tueta käytettäessä suodattimia käyttäen! (tai ei) loogiset operaattorit. Katso alla
LDAP-palvelut eivät itse tue yleismerkkejä memberOf
attribute
ja muita tunnettuja nimiä Ldapfilteriä perustettaessa.
miten täsmään 3 attribuuttia?
Lisää vain ylimääräinen lauseke:
(&(objectClass=user)(objectClass=top)(objectClass=person))
lisälausekkeita voidaan lisätä myös useammalle kuin kolmelle attribuutille.
erotettujen nimien täsmäävät osat
koska Microsoft Active Directory ei toteuta extensible matchingia, seuraavat esimerkit eivät toimi sen kanssa.
saatat haluta sovittaa osan DN: stä, esimerkiksi silloin, kun sinun täytyy etsiä ryhmiäsi palvelimen kahdesta alatyypistä.
(&(objectClass=group)(|(ou:dn:=Chicago)(ou:dn:=Miami)))
löytää ryhmiä, joiden DN: n ou-komponentti on joko ”Chicago” tai ”Miami”.
käyttämällä ilmaisua ” ei ”
sulkemaan pois yksiköt, jotka vastaavat ilmaisua, käytä”!’.
So
(&(objectClass=group)(&(ou:dn:=Chicago)(!(ou:dn:=Wrigleyville))))
löytää kaikki Chicagon ryhmät paitsi ne, joissa on Wrigleyville OU-komponentti.
huomaa ylimääräiset sulut: (!(<lauseke>))
huomaa, että jos käytetään ” ei ” (ts. ’!”objektien poissulkemiseksi) se on esitettävä oliona”!’in your XML file if you are using Confluence 3.4 or below.
Yhtymäkohdalle 3.4 ja alla, Kun olet rakentanut hakusuodattimen käyttämällä tätä asiakirjaa, sinun täytyy paeta ampersand symboli ja huutomerkki symboli ennen lisäämistä XML-tiedoston. Niinpä esimerkiksi;
(&(objectClass=person)(!(objectClass=user)))
(&(objectClass=person)(!(objectClass=user)))
katso tätä ulkopuolista dokumentaatiota muista XML-merkeistä, jotka tarvitsevat pakenemista.tulee
Näytesuodattimet
nämä suodattimet on kirjoitettu Active Directorylle. Jotta niitä voidaan käyttää johonkin, kuten OpenLDAP, attribuutteja on muutettava.
Tämä synkronoi vain”Kapteeniplaneetta” – ryhmän käyttäjät-Tätä tulisi soveltaa Käyttäjäobjektisuodattimeen:
(&(objectCategory=Person)(sAMAccountName=*)(memberOf=cn=CaptainPlanet,ou=users,dc=company,dc=com))
ja tämä etsii tähän ryhmään kuuluvia käyttäjiä joko suoraan tai pesän kautta:
(&(objectCategory=Person)(sAMAccountName=*)(memberOf:1.2.840.113556.1.4.1941:=cn=CaptainPlanet,ou=users,dc=company,dc=com))
tärkeää, että active directorylla on jäsen:1.2.840.113556.1.4.1941, jos haluat löytää sisäkkäisiä ryhmiä (älä korvaa numeerista merkkijonoa) kapteeniplaneettaryhmän sisältä.
tämä etsii käyttäjiä, jotka kuuluvat mihin tahansa tai kaikkiin 4 ryhmään (tuli,tuuli,vesi, sydän)
(&(objectCategory=Person)(sAMAccountName=*)(|(memberOf=cn=fire,ou=users,dc=company,dc=com)(memberOf=cn=wind,ou=users,dc=company,dc=com)(memberOf=cn=water,ou=users,dc=company,dc=com)(memberOf=cn=heart,ou=users,dc=company,dc=com)))
tässä asiakirjassa hahmotellaan, miten rakentaa kehittyneempi suodatin Käyttäjäobjektisuodattimelle ja Ryhmäobjektisuodattimelle attribuutteja Atlassian-sovellusten LDAP-määrityksissä.
Jira, Confluence, Bamboo, Bitbucket
Server
Leave a Reply