LDAP Java - 跨受信任域搜索组成员身份答案

【问题标题】：LDAP Java - Search for group membership across trusted domainsLDAP Java - 跨受信任域搜索组成员身份
【发布时间】：2014-03-01 05:43:15
【问题描述】：

有两个外部林受信任域：DomainA 和 DomainB。

DomainA 包含全局组 GG-1 和 GG-2，并且用户是这些组的成员：

DomainB 包含域本地组 DLG-1，组 GG-1 和 GG-2 是该组的成员。

现在，当 U1 针对 DomainA 进行身份验证时，我们希望获得 GG-1 和 DLG-1 的成员资格，但我们只获得了 GG-1。

我们是否可以使用 Java 直接或间接识别用户的跨域组成员身份？

【问题讨论】：

【解决方案1】：

如果您使用 Java，这意味着您正在使用 LDAP 来查询 Active Directory。使用默认 LDAP 端口将无法满足您的要求。

但是，如果您使用 LDAP 在端口 3268 上查询 全局目录，则可以检索跨域成员资格。

编辑：如果这没有产生任何结果，要么您需要一个通用组（不太可能），要么需要正确设置 GC。

EDIT2：鉴于您没有 GC，唯一的其他选择是在 AD 中创建指向外部域的引用对象。请参阅http://support.microsoft.com/kb/241737 如何进行设置。

然后，您必须配置您的 Java LDAP 环境以遵循如下引用：env.put(Context.REFERRAL, "follow");。

【讨论】：