如何使用 LDIF 添加用户成员资格？

Question

我正在尝试使用 LDIF 将用户成员资格添加到现有用户组。

示例：

dn: CN=Domain Users,CN=Users
changeType: Modify
add: member
member: CN=SomeCN1
member: CN=SomeCN2
member: CN=SomeCN3
member: CN=SomeCN4

一切正常，除非其中一个成员资格已经存在。例如，如果 SomeCN2 成员资格已经存在，则整个语句将失败并且不会添加任何成员资格。这是“修改”changeType 的一个功能...我尝试查看如何以不同方式格式化 LDIF，但似乎无法弄清楚。我想为每个成员声明一个声明，但这会导致我的文件庞大且难以管理，这并不理想。

我如何构建我的会员声明以便添加所有会员，而不管其中一个会员是否已经存在？

Answer 1

LDAP 对象中的多值属性必须具有唯一值，也就是说，多值属性的每个值都必须不同于该对象中该属性的任何其他值。 LDIF 输入的任何结构都无法改变这一点。

1. 我看到应用程序删除多值属性的所有值，然后添加所需的值（在这种情况下，没有多值属性）。在某些情况下，如果该组所属的对象类需要多值属性，则可以删除整个组，然后再重新添加。

2. 很明显，#1 是一个不合标准的解决方案（尽管它可以通过使用 LDAP transactions 使它变得更可口，其中该组被删除并作为单个事务的一部分添加，但是这可能不可用，世界上到处都是不支持事务的低质量服务器和 API）。 LDAP 客户端最好检索组中的所有成员，然后根据这些知识，仅添加组中尚不存在的属性值。