可以在ldap查詢條件中使用操作屬性

Question

我想爲非特殊組中的成員查詢多米諾ldap。團體成員資格可以更容易地映射到人員記錄上的多米諾骨牌羣組。

dominoaccessgroups的特別之處在於它是一個可操作的屬性，並且在記錄中出現的次數更多。

我試過以下查詢。

(&(objectClass=dominoPerson)(!(dominoAccessGroups=CN=not_in_this_group))) 

但我想排除的人仍然在結果中。

在查詢中是否允許操作屬性？

必須等號嗎？

屬性的多次出現是一個問題？

Answer 1

您的語法看起來不錯，但AFAIK不能在搜索中使用dominoAccessGroups屬性。它的行爲就像這個屬性對任何條目都不存在。

也可以查詢正常的操作屬性（例如displayName）。但是，如果您查看LDAP Schema數據庫中的dominoAccessGroups的屬性說明：

條目所屬的所有組的安全性。只讀 操作屬性（不允許在過濾器中）

我認爲這是因爲它是如何工作的。每次您請求dominoAccessGroups（如果您不特別希望顯示，則不計算），它會遞歸計算組成員資格。此外，它不是由多米諾字段映射的，與其他操作屬性不同，它不能在全文索引中找到。