IBM狀態:LDAP用戶在WebSphere嵌套組成員
嵌套 嵌套意味着從LDAP服務器向 請求組成員屬性的響應已經包含任何嵌套 組關係,但沒有任何動態組織成員資格。如果 用戶是組「A2」的成員,並且「A2」是組「A1」, 的成員,則組成員列表包括A1和A2。這個信息告訴VMM即使客戶端請求嵌套組 信息,響應已經提供了它。 VMM不需要進一步的工作 來滿足請求。
如何在websphere(連接到Active Directory)中實現此目標,以便如果用戶是A2的成員,並且A2是組A1的成員,我希望用戶同時處於A1和A2。
在組屬性定義中啓用我已經嵌套組,但是當我瀏覽的用戶,那隻能說明他們屬於A2組
的配置有助於VMM才知道什麼是預期中的屬性從返回LDAP服務器。 VMM通過使用由包含成員資格的LDAP提供的屬性來快速查找成員資格。您可以在其中定義嵌套的全部或直接配置元素僅在需要執行進一步操作時有助於VMM提示。 全部取決於從LDAP返回的值。在你的情況Active Directory。通常這將是的memberOf和從https://msdn.microsoft.com/en-us/library/ms677943%28v=vs.85%29.aspx
的memberOf
The memberOf attribute is a multi-valued attribute that contains groups of which the user is a direct member, except for the primary組,其由primaryGroupId表示。組成員是依賴於域控制器(DC),從該該屬性是 檢索上 :
At a DC for the domain that contains the user, memberOf for the user is complete with respect to membership for groups in that域;但是,memberOf不包含其他域中的域本地組和全局組的 用戶的成員身份。 在GC服務器上,該用戶的memberOf關於所有通用組成員關係都已完成。
If both conditions are true for the DC, both sets of data are contained in memberOf. Be aware that this attribute lists the groups that contain the user in their member attribute—it does not contain the recursive list的嵌套前輩。例如,如果用戶O爲C組 和B組和組的成員B在嵌套在A組中,用戶的memberOf的O屬性 將列出C組和B組,而不是組A.
This attribute is not stored—it is a computed back-link attribute.
memberOf只包含直接成員。結合您所做的配置,VMM將僅檢查memberOf中的值,並且不會執行任何其他LDAP調用。
現在我有太多的選擇。您是否希望擁有嵌套的Groups for J2EE角色或在您的應用程序中,因爲您使用API或or直接調用VMM。我不想推測到我的發言
的memberOf返回平籍又名直接成員和VMM需要進行額外調用獲得完整的信息離開。通過設置嵌套VMM將不會執行任何其他呼叫
您需要從nested切換爲direct,以告知VMM執行其他搜索,因爲AD僅返回直接成員。有關更多詳情,請參閱Locating user group memberships in a Lightweight Directory Access Protocol registry。