用户、组和容器的 LDAP 过滤器和属性案例

摘自: https://docs.oracle.com/html/E35191_01/ldap-filters-attrs-users.html

C.2. 用户、组和容器的 LDAP 过滤器和属性

C.2.1. 用户、组和容器的默认 LDAP 过滤器和属性
C.2.2. 用户、组和容器的 Active Directory 设置
C.2.3. 用户、组和容器的 Oracle Directory Server Enterprise Edition 设置
C.2.4. 用户、组和容器的 OpenDS 设置
C.2.5. 用户、组和容器的 OpenLDAP 设置
C.2.6. 用户、组和容器的 Novell eDirectory 设置

Oracle VDI Manager 名称 CLI 属性名称 说明
用户过滤器 ldap.user.object.filter 用于标识用户类型对象的 LDAP 过滤器。
用户搜索过滤器 ldap.user.search.filter 用于根据搜索条件搜索用户的 LDAP 过滤器。可以使用 user-search 命令或在 Oracle VDI Manager 中完成用户搜索。$SEARCH_STRING 是搜索条件的占位符。
用户 ID 属性 ldap.userid.attributes 以逗号分隔的 LDAP 属性列表,其中存储用户对象的用户 ID 值。用于在给定用户 ID 的情况下查找用户。
用户成员属性 ldap.user.member.attributes 某一用户对象的以逗号分隔的 LDAP 属性列表,其中存储该用户所属的组。
用户短属性 ldap.user.short.attributes 某一用户对象可在组成员属性中使用的 LDAP 属性的逗号分隔列表。
组过滤器 ldap.group.object.filter 用于标识组类型对象的 LDAP 过滤器。
组搜索过滤器 ldap.group.search.filter 用于根据搜索条件搜索组的 LDAP 过滤器。可以使用 user-search 命令或者在 Oracle VDI Manager 中执行对组的搜索。$SEARCH_STRING 是搜索条件的占位符。
组成员属性 ldap.group.member.attributes 某一组对象的以逗号分隔的 LDAP 属性列表,其中存储该组的用户成员。
组短属性 ldap.group.short.attributes 可以在用户成员属性中使用的组对象上的 LDAP 属性的逗号分隔列表。此属性通常用于特定于 Active Directory 的主要组成员关系。
容器对象过滤器 ldap.container.object.filter 用于标识容器类型对象的 LDAP 过滤器。在 Oracle VDI Manager 中,可将容器选作定制组过滤器的根。
容器搜索过滤器 ldap.container.search.filter 在为定制组过滤器选择根时,Oracle VDI Manager 用来根据搜索条件搜索容器的 LDAP 过滤器。$SEARCH_STRING 是搜索条件的占位符。
默认属性 ldap.default.attributes 查找对象时在高速缓存中加载的以逗号分隔的 LDAP 属性的列表。其中应包含其他过滤器和属性列表中使用的所有属性。

C.2.1. 用户、组和容器的默认 LDAP 过滤器和属性

下表包含用户、组和容器的默认 LDAP 过滤器和属性。

Oracle VDI Manager 名称 默认值
用户过滤器 (&(|(objectclass=user)(objectclass=person)(objectclass=inetOrgPerson) (objectclass=organizationalPerson))(!(objectclass=computer)))
用户搜索过滤器 (|(cn=$SEARCH_STRING)(uid=$SEARCH_STRING) (userPrincipalName=$SEARCH_STRING)(mail=$SEARCH_STRING))
用户 ID 属性 uid,sAMAccountName,userPrincipalName,mail
用户成员属性 memberof,primaryGroupID
用户短属性
组过滤器 (|(objectclass=group)(objectclass=groupofnames) (objectclass=groupofuniquenames))
组搜索过滤器 (|(dc=$SEARCH_STRING)(o=$SEARCH_STRING)(ou=$SEARCH_STRING) (cn=$SEARCH_STRING)(uid=$SEARCH_STRING)(mail=$SEARCH_STRING))
组成员属性 member,uniquemember
组短属性 primaryGroupToken
容器对象过滤器 (|(objectclass=domain)(objectclass=organization) (objectclass=organizationalUnit)(objectclass=container))
容器搜索过滤器 (|(cn=$SEARCH_STRING)(dc=$SEARCH_STRING)(ou=$SEARCH_STRING))
默认属性 dc,o,ou,cn,uid,mail,member,uniquemember,memberof,sAMAccountName, primaryGroupToken,primaryGroupID

C.2.2. 用户、组和容器的 Active Directory 设置

下表包含用户、组和容器的 Active Directory 的建议设置。

如果您对用户标识使用 userPrincipalName 属性或 mail 属性,请在以下设置中使用此属性而不是 sAMAccountName

Oracle VDI Manager 名称 建议设置
用户过滤器 (&(objectclass=user)(!(objectclass=computer)))
用户搜索过滤器 (|(cn=$SEARCH_STRING)(sAMAccountName=$SEARCH_STRING))
用户 ID 属性 sAMAccountName
用户成员属性 memberof,primaryGroupID
用户短属性
组过滤器 (objectclass=group)
组搜索过滤器 (cn=$SEARCH_STRING)
组成员属性 member
组短属性 primaryGroupToken
容器对象过滤器 (objectclass=container)
容器搜索过滤器 (cn=$SEARCH_STRING)
默认属性 cn,member,memberof,sAMAccountName,primaryGroupToken,primaryGroupID

C.2.3. 用户、组和容器的 Oracle Directory Server Enterprise Edition 设置

下表包含用户、组和容器的 Oracle Directory Server Enterprise Edition 的建议设置。

Oracle VDI Manager 名称 建议设置
用户过滤器 (objectclass=person)
用户搜索过滤器 (|(cn=$SEARCH_STRING)(uid=$SEARCH_STRING))
用户 ID 属性 uid
用户成员属性 memberof
用户短属性
组过滤器 (objectclass=groupofuniquenames)
组搜索过滤器 (cn=$SEARCH_STRING)
组成员属性 uniquemember
组短属性
容器对象过滤器 (|(objectclass=domain)(objectclass=organizationalUnit))
容器搜索过滤器 (|(dc=$SEARCH_STRING)(ou=$SEARCH_STRING))
默认属性 dc,ou,cn,uid,uniquemember,memberof

C.2.4. 用户、组和容器的 OpenDS 设置

下表包含用户、组和容器的 OpenDS 的建议设置。

Oracle VDI Manager 名称 建议设置
用户过滤器 (objectclass=person)
用户搜索过滤器 (|(cn=$SEARCH_STRING)(uid=$SEARCH_STRING))
用户 ID 属性 uid
用户成员属性 memberof
用户短属性
组过滤器 (objectclass=groupofuniquenames)
组搜索过滤器 (cn=$SEARCH_STRING)
组成员属性 uniquemember
组短属性
容器对象过滤器 (|(objectclass=domain)(objectclass=organizationalUnit))
容器搜索过滤器 (|(dc=$SEARCH_STRING)(ou=$SEARCH_STRING))
默认属性 dc,ou,cn,uid,uniquemember,memberof

C.2.5. 用户、组和容器的 OpenLDAP 设置

下表包含用户、组和容器的 OpenLDAP 的建议设置。

Oracle VDI Manager 名称 建议设置
用户过滤器 从默认过滤器中删除 (!(objectclass=computer))。改用 (objectclass=person)
用户搜索过滤器 (|(cn=$SEARCH_STRING)(uid=$SEARCH_STRING))
用户 ID 属性 uid
用户成员属性 memberof
用户短属性
组过滤器 (objectclass=groupofnames)
组搜索过滤器 (cn=$SEARCH_STRING)
组成员属性 member
组短属性
容器对象过滤器
容器搜索过滤器
默认属性 cn,uid,member,memberof

C.2.6. 用户、组和容器的 Novell eDirectory 设置

下表包含用户、组和容器的 Active Directory 的建议设置。

Oracle VDI Manager 名称 建议设置
用户过滤器 您必须从默认过滤器中删除 (!(objectclass=computer))。建议设置为 (objectclass=person)
用户搜索过滤器 (|(cn=$SEARCH_STRING)(uid=$SEARCH_STRING)(givenName=$SEARCH_STRING))
用户 ID 属性 givenName,cn,uid
用户成员属性 groupMembership
用户短属性
组过滤器 (|(objectclass=group)(objectclass=groupofnames)(objectclass=groupofuniquenames))
组搜索过滤器
组成员属性 member,uniquemember
组短属性
容器对象过滤器 (objectclass=organizationalUnit)
容器搜索过滤器
默认属性 cn,uid,givenName,groupmembership,member,uniquemember