Platform Notice: Server And Data Center Only – denne artikkelen gjelder Bare Atlassian-produkter på server-og datasenterplattformene.

Formål

dette dokumentet skisserer hvordan du skal gå om å bygge et mer sofistikert filter For Brukerobjektfilteret og Gruppeobjektfilterattributter i LDAP-konfigurasjonen for Atlassian-applikasjoner.

hva er et filter

Filtre kan brukes til å begrense antall brukere eller grupper som har tilgang til et program. I hovedsak begrenser filteret hvilken del AV LDAP-treet programmet synkroniserer fra.

et filter kan og bør skrives for både bruker-og gruppemedlemskap. Dette sikrer at du ikke oversvømmer søknaden din med brukere og grupper som ikke trenger tilgang.

Løsning

når du bygger et filter, er det best å velge et felles attributt for settet med brukere du vil tillate tilgang til programmet. Dette er oftest attributtet som angir gruppemedlemskap eller et objektklasse som «Person»

Hvordan matcher jeg mer enn ett attributt?

for eksempel, hvis brukerne mine utmerker seg ved å ha to objektklasseattributter (en lik ‘person’ og en annen til ‘bruker’), er det slik jeg vil matche for det:

(&(objectClass=person)(objectClass=user))

Legg Merke tilampersand symbol '&' symbolet ved starten. Oversatt betyr dette: søk etter objectClass=person og objekt = bruker.

Alternativt

(|(objectClass=person)(objectClass=user))

Oversatt betyr dette: søk etter objectClass=person eller objekt = bruker.

pipe symbol '|' betegner’ELLER’. Siden dette ikke er et SPESIELT XML-tegn, bør det ikke trenge å rømme.

Jokertegn

(&(objectClass=user)(cn=*Marketing*))

dette betyr: søk etter alle oppføringer som har objectClass=bruker og cn som inneholder ordet ‘Markedsføring’.

LDAP-tjenestene selv støtter ikke jokertegn for memberOf attribute og Annet Unikt Navn når Du konfigurerer LDAPFilter.

hvordan matcher jeg 3 attributter?

bare legg til en ekstra klausul:

(&(objectClass=user)(objectClass=top)(objectClass=person))

Ekstra klausuler kan også legges til for mer enn tre attributter.

Matchende Komponenter Av Distinguished Names

du vil kanskje matche en DEL AV EN DN, for eksempel når du må se etter gruppene dine i to undertrær på serveren din.

(&(objectClass=group)(|(ou:dn:=Chicago)(ou:dn:=Miami)))

vil finne grupper med en ou komponent av DERES DN som er Enten ‘Chicago’ eller ‘Miami’.

bruk ‘ikke’

for å ekskludere enheter som samsvarer med et uttrykk, bruk ‘!’.

So

(&(objectClass=group)(&(ou:dn:=Chicago)(!(ou:dn:=Wrigleyville))))

vil finne Alle Chicago grupper unntatt de Med En wrigleyville ou komponent.

Legg merke til de ekstra parentesene: (!(<uttrykk>))

(&(objectClass=person)(!(objectClass=user)))

(&(objectClass=person)(!(objectClass=user)))

Eksempelfiltre

dette vil bare synkronisere brukere i ‘CaptainPlanet’ – gruppen-dette bør brukes På Brukerobjektfilteret:

(&(objectCategory=Person)(sAMAccountName=*)(memberOf=cn=CaptainPlanet,ou=users,dc=company,dc=com))

og dette vil søke etter brukere som er medlem av denne gruppen, enten direkte eller via nesting:

(&(objectCategory=Person)(sAMAccountName=*)(memberOf:1.2.840.113556.1.4.1941:=cn=CaptainPlanet,ou=users,dc=company,dc=com))

dette vil søke etter brukere som er medlem av noen eller alle de 4 gruppene (brann, vind,vann,hjerte)

(&(objectCategory=Person)(sAMAccountName=*)(|(memberOf=cn=fire,ou=users,dc=company,dc=com)(memberOf=cn=wind,ou=users,dc=company,dc=com)(memberOf=cn=water,ou=users,dc=company,dc=com)(memberOf=cn=heart,ou=users,dc=company,dc=com)))