Plattformsmeddelande: endast Server och datacenter-den här artikeln gäller endast Atlassian-produkter på server-och datacenterplattformarna.

syfte

i det här dokumentet beskrivs hur du konstruerar ett mer sofistikerat filter för Användarobjektfiltret och gruppobjektfilterattributen i din LDAP-konfiguration för Atlassian-applikationer.

Vad är ett filter

filter kan användas för att begränsa antalet användare eller grupper som får komma åt ett program. I huvudsak begränsar filtret vilken del av LDAP-trädet applikationen synkroniserar från.

ett filter kan och bör skrivas för både användar-och gruppmedlemskap. Detta säkerställer att du inte översvämmer din applikation med användare och grupper som inte behöver åtkomst.

lösning

När du konstruerar ett filter är det bäst att välja ett gemensamt attribut för den uppsättning användare du vill tillåta åtkomst till programmet. Detta är oftast attributet som betecknar gruppmedlemskap eller ett objektklass som ”Person”

hur matchar jag mer än ett attribut?

till exempel, om mina användare kännetecknas av att ha två objectClass attribut (en lika med ’person’ och en annan till ’användare’), så här skulle jag matcha för det:

(&(objectClass=person)(objectClass=user))

Lägg märke tillampersand symbol '&' symbolen i början. Översatt betyder detta: sök efter objectClass=person och objekt=användare.

alternativt

(|(objectClass=person)(objectClass=user))

översatt detta betyder: Sök efter objectClass=person eller objekt=användare.

pipe symbol '|' betecknar ’eller’. Eftersom detta inte är ett speciellt XML-tecken, borde det inte behöva fly.

jokertecken

(&(objectClass=user)(cn=*Marketing*))

detta betyder: Sök efter alla poster som har objectClass=användare och cn som innehåller ordet ’marknadsföring’.

LDAP-tjänsterna själva stöder inte jokertecken för memberOf attribute och annat framstående namn när du ställer in LDAPFilter.

Hur matchar jag 3 attribut?

lägg bara till en extra klausul:

(&(objectClass=user)(objectClass=top)(objectClass=person))

extra klausuler kan läggas till för mer än tre attribut också.

matchande komponenter av framstående namn

Du kanske vill matcha en del av en DN, till exempel när du behöver leta efter dina grupper i två underträd på din server.

(&(objectClass=group)(|(ou:dn:=Chicago)(ou:dn:=Miami)))

hittar grupper med en OU-komponent i deras DN som antingen är ”Chicago” eller ”Miami”.

använda ’not’

för att utesluta enheter som matchar ett uttryck, använd ’!’.

Så

(&(objectClass=group)(&(ou:dn:=Chicago)(!(ou:dn:=Wrigleyville))))

hittar alla Chicago-grupper utom de med en Wrigleyville OU-komponent.

notera de extra parenteserna: (!(<expression>))

(&(objectClass=person)(!(objectClass=user)))

(&(objectClass=person)(!(objectClass=user)))

Provfilter

detta synkroniserar endast användare i gruppen ’CaptainPlanet’ – detta bör tillämpas på Användarobjektfiltret:

(&(objectCategory=Person)(sAMAccountName=*)(memberOf=cn=CaptainPlanet,ou=users,dc=company,dc=com))

och detta söker efter användare som är medlemmar i denna grupp, antingen direkt eller via nesting:

(&(objectCategory=Person)(sAMAccountName=*)(memberOf:1.2.840.113556.1.4.1941:=cn=CaptainPlanet,ou=users,dc=company,dc=com))

detta kommer att söka efter användare som är medlem i någon eller alla 4 grupper (eld, vind,vatten,hjärta)

(&(objectCategory=Person)(sAMAccountName=*)(|(memberOf=cn=fire,ou=users,dc=company,dc=com)(memberOf=cn=wind,ou=users,dc=company,dc=com)(memberOf=cn=water,ou=users,dc=company,dc=com)(memberOf=cn=heart,ou=users,dc=company,dc=com)))