自从我在这家公司工作以来,我们就有一个非常基本的 AD 设置。用户进入用户 CN,那里有几个计算机 OU,例如台式机和服务器。
最近,我一直在计划一个更全面的设计,以允许自定义部门 GP 设置(特别是打印机)。我想将用户移动到为每个部门创建的 OU。根据我的测试,除了一个应用程序外,一切似乎都运行良好。
JReport 是一个报告应用程序,它有一个 LDAP 设置来导入用户。然后它使用该信息实现 SSO。在我们当前的设置下运行良好,但当我将用户从 CN=Users 移动到 OU=XYZ 时,他们就无法再进行身份验证了。
以下是该应用程序设置的屏幕截图:
如您所见,这是一个非常简单的设置。如果我测试目录管理员有权访问的连接。如果我查询用户,我可以看到新 OU 中的用户。但如果我尝试访问报告,它不起作用。即使我手动输入凭据。
所以我想我的问题是,有人能想到将用户移动到新的 OU 会破坏这一点的原因吗?
答案1
在尝试身份验证期间嗅探 LDAP 流量以查看其实际执行的操作。这是找出答案的最佳方法。
我大胆猜测一下。既然您说的是“导入”用户,我想知道它是否没有保留用户旧 DN 的某些持久记录,并且当您移动用户时,在身份验证过程中不会查询新 DN。
答案2
群组是否也被移出了用户 CN?
我不确定在字段映射和过滤的cn=users上下文Group Schema中它应该做什么...但也许它是相对于为目录设置的全局基本 DN(“根条目”)的组的基本 DN?
作为属性映射会更有意义,在这种情况下它应该是这样的distinguishedName(并且当我们这样做时,member如果我正确解释了它们的措辞,“组成员类型”应该是这样的)。
尝试在假设组可分辨名称为基本 DN 的情况下将其清空,并查看是否能得到任何结果。