我正在配置 Juniper SRX 来为用户进行 LDAP 身份验证,但在实验室中遇到了一个问题。我确信这是我自己糟糕的 AD 技能造成的,但我看到了一些奇怪的行为:
我试图允许组内的任何用户CN=german_users。有两个用户被分配给它,但他们在 ADSI 编辑中的路径并未反映出这一点:
CN=german_user_1,OU=Germany,OU=Europe...
难道不应该吗CN=german_user_1,CN=german_users,OU=Germany,OU=Europe...?
我在引用 SRX 上的特定组时遇到了困难。如果我能找出用户的绝对路径,我相信这会很简单。
我如何能:
a) 验证他们的路径
和/或
b) 修改用户的路径是否包含在组内?
谢谢!
编辑:我应该注意,我不能简单地使用“OU”内的任何帐户。我需要使用同一 OU 内的特定组来分配不同的访问权限。
答案1
只有您的 AD 管理员才能为您提供对象的实际 OU 路径。幸运的是,域中的任何人都可以读取 AD 信息,因此如果您有任何 ldap 客户端,您只需搜索该对象并获取其 DN(DistinguishedName)。您可以根据名称、AD 用户名(samAccountName)等进行搜索。
您不需要更改用户的 OU 来加入组,它们是两个独立的事情。您只需要使用 ADUC mmc 将用户添加到组中即可。
答案2
在 SRX 策略配置中,使用 CN(“german_users”)而不是 DN(“CN=xxxx,...”)来引用组(或多个组)。这就足够了。