Hogyan írjunk LDAP keresési szűrőket
Platform figyelmeztetés: csak szerver és adatközpont-ez a cikk csak az Atlassian termékekre vonatkozik a szerver és adatközpont platformokon.
Purpose
Ez a dokumentum felvázolja, hogyan lehet egy kifinomultabb szűrőt létrehozni a felhasználói Objektumszűrőhöz és Objektumszűrő attribútumokat csoportosítani az LDAP konfigurációjában az Atlassian alkalmazásokhoz.
mi az a szűrő
szűrők lehet használni, hogy korlátozza a felhasználók száma vagy csoportok, amelyek hozzáférhetnek egy alkalmazás. Lényegében a szűrő korlátozza az LDAP fa azon részét, ahonnan az alkalmazás szinkronizálódik.
egy szűrő írható mind a felhasználói, mind a csoport tagságára. Ez biztosítja, hogy ne árassza el az alkalmazást olyan felhasználókkal és csoportokkal, amelyekhez nincs szükség hozzáférésre.
megoldás
szűrő létrehozásakor a legjobb, ha az alkalmazáshoz való hozzáférést engedélyezni kívánt felhasználói csoport közös attribútumát választja. Ez leggyakrabban az az attribútum, amely a csoport tagságát vagy az objectClass-t jelöli, mint például a “személy”
a csoport tagságának jelölésére használt attribútum nem közös az LDAP minden ízében. Példák erre az attribútumra: “groupMembership”vagy” Member ”
Hogyan tudok egynél több attribútumot illeszteni?
például, ha a felhasználóimat két objectClass attribútum különbözteti meg (az egyik egyenlő a “személy” – vel, a másik pedig a “felhasználó” – vel), akkor így felelnék meg neki:
(&(objectClass=person)(objectClass=user))Az elején vegye figyelembe aampersand symbol '&' szimbólumot. Lefordítva ez azt jelenti: keresés objectClass=személy és objektum=felhasználó.
Alternatív megoldásként
(|(objectClass=person)(objectClass=user))lefordítva ez azt jelenti: keresés objectClass=személy vagy objektum=felhasználó.
a pipe symbol '|' jelöli “vagy”. Mivel ez nem egy speciális XML karakter, nem kell menekülni.
helyettesítő karakterek
(&(objectClass=user)(cn=*Marketing*))Ez azt jelenti: keressen minden olyan bejegyzést, amely objectClass = user AND cn, amely tartalmazza a “Marketing” szót.
a helyettesítő karakterek nem támogatottak, ha szűrőkben használják ! (vagy nem) logikai operátorok. Lásd alább
maguk az LDAP-szolgáltatások nem támogatják a memberOf attribute és más megkülönböztetett nevet az LDAPFilter beállításakor.
hogyan egyezik 3 attribútumok?
csak adjon hozzá egy extra záradékot:
(&(objectClass=user)(objectClass=top)(objectClass=person))további záradékok is hozzáadhatók több mint három attribútumhoz.
matching komponensek megkülönböztetett nevek
mivel a Microsoft Active Directory nem hajt végre bővíthető illesztést, a következő példák nem fognak működni vele.
érdemes lehet egy DN egy részét egyeztetni, például amikor a csoportokat a szerver két altípusában kell keresnie.
(&(objectClass=group)(|(ou:dn:=Chicago)(ou:dn:=Miami)))olyan csoportokat talál, amelyek DN-jük OU-összetevőjével rendelkeznek, amelyek “Chicago” vagy “Miami”.
A ” nem “
használatával kizárhatja azokat az entitásokat, amelyek megfelelnek egy kifejezésnek, használja”!’.
So
(&(objectClass=group)(&(ou:dn:=Chicago)(!(ou:dn:=Wrigleyville))))megtalálja az összes Chicagói csoportot, kivéve a Wrigleyville OU komponenst.
vegye figyelembe az extra zárójeleket: (!(<expression>))
vegye figyelembe, hogy ha a ” nem ” (azaz. ‘!”az objektumok kizárásához) entitásként kell ábrázolni”!’az XML fájlban, ha a Confluence 3.4 vagy az alábbi fájlt használja.
Összefolyáshoz 3.4. és az alábbiakban, miután elkészítette a keresési szűrőt a dokumentum használatával, el kell kerülnie az ampersand szimbólumot és a felkiáltójel szimbólumot, mielőtt hozzáadja az XML fájlhoz. Így például;
(&(objectClass=person)(!(objectClass=user)))
(&(objectClass=person)(!(objectClass=user)))
olvassa el ezt a külső dokumentációt más XML karakterekről, amelyeknek menekülniük kell.lesz
Minta szűrők
ezek a szűrők vannak írva Active Directory. Annak érdekében, hogy használni őket valami, mint például OpenLDAP az attribútumokat meg kell változtatni.
Ez csak szinkronizálása a felhasználók a ‘CaptainPlanet’ csoport – ez kell alkalmazni, hogy a Felhasználó Objektum Szűrő:
(&(objectCategory=Person)(sAMAccountName=*)(memberOf=cn=CaptainPlanet,ou=users,dc=company,dc=com))ez keresés a felhasználók számára, hogy tagja ennek a csoportnak, vagy közvetlenül a via fészkelő:
(&(objectCategory=Person)(sAMAccountName=*)(memberOf:1.2.840.113556.1.4.1941:=cn=CaptainPlanet,ou=users,dc=company,dc=com))Fontos, hogy az Active Directory, hogy tagja:1.2.840.113556.1.4.1941, ha meg akarja találni beágyazott csoportok (nem helyettesítik a numerikus karakterlánc) belül CaptainPlanet csoport.
Ez kereső felhasználók számára, akik a valamely, vagy mind a 4 csoport (tűz, szél -, víz -, szív)
(&(objectCategory=Person)(sAMAccountName=*)(|(memberOf=cn=fire,ou=users,dc=company,dc=com)(memberOf=cn=wind,ou=users,dc=company,dc=com)(memberOf=cn=water,ou=users,dc=company,dc=com)(memberOf=cn=heart,ou=users,dc=company,dc=com)))Ez a dokumentum ismerteti, hogyan kell felépíteni egy kifinomultabb szűrő a Felhasználói Objektum Szűrő, illetve a Csoport Objektum Szűrő attribútumok az LDAP konfigurációs az Atlassian alkalmazások.
Jira, Confluence, Bamboo, Bitbucket
szerver
Leave a Reply