LDAP 连接中的通配符 [重复]

Question

可能重复：
What's the difference in using distinguished name with cn or uid when logging into LDAP?

我试图诱使应用程序登录用户。我不是想破解任何东西，我们购买了一个尝试与某些严格设置连接的应用程序。我正在努力让它发挥作用。

基本上我必须定义搜索库：

  ou=employees,ou=Main,o=mycompany

如果我尝试以 johnsmith 身份登录，它会将用户名作为 uid 预先添加到搜索库中，如下所示：

  uid=johnsmith,ou=employees,ou=Main,o=mycompany

事实证明，Novell eDirectory 使用 cn 作为专有名称（而不是 uid）。

有什么方法可以使用通配符欺骗应用程序？我希望这样的事情可能会奏效：

  uid=*,cn=johnsmith,ou=employees,ou=Main,o=mycompany 

但这不起作用。 ^

Answer 1

答案是否定的。搜索请求需要以下参数：

• 基础对象
• 范围（子树、一或基础）
• 过滤器
• 要检索的属性列表（可选）
• 时间限制（可选）
• 大小限制（可选）
• 控件（可选）
• 仅类型（可选）

服务器通过创建从base object 开始（包括base object）的候选条目列表来处理请求。如果scope是subtree，那么所有从属于base object的条目都可以是候选，如果scope是one，那么只有直接从属于base object的条目被认为是候选，否则scope是base，候选人是base object。该过滤器用于过滤掉候选者，即仅将filter 断言评估为true 的候选者返回给LDAP 客户端。如果属性列表为空，则返回除操作属性之外的所有属性。如果属性列表包含@objectClassName，则返回条目中存在的命名objectClass 中需要或允许的所有属性。如果属性列表为"1.1"，则仅将条目的可分辨名称返回给LDAP客户端（"1.1"是一个没有属性可以匹配的OID），如果属性列表是"+"，则所有操作属性都是返回给客户端，否则请求的属性将返回给 LDAP 客户端。仅当按名称明确请求时，符合 LDAP 的服务器才返回操作属性。 time limit 是一个可选的、客户端请求的对服务器应花费在处理请求上的时间量的限制。 size limit 是一个可选的、客户端请求的对服务器应返回 LDAP 客户端的条目数的限制。客户端请求的参数不能覆盖服务器设置。 Controls 是包含在搜索请求中的可选数据。有关搜索请求的详细信息，请参阅“Using ldapsearch”。

Answer 2

您的声明“事实证明 Novell eDirectory 使用 cn 作为专有名称（而不是 uid ）。”本身不正确。

默认情况下，它使用属性 CN 作为命名属性。您可以在 eDirectory 中创建命名属性为 uid= 但不是默认值的对象。

您可以通过 LDIF 使用 modrdn 将每个人重命名为 uid= 他们当前的 CN 值。

我最初建议您将 uid 属性重新映射为 LDAP 服务器属性映射中的 CN 值。但转念一想，我不确定这是否会有所帮助。

因为您的应用不是在搜索 uid= 某个值的用户，而是根据假设构建 DN。

但你可以试试看是否有帮助：

在您的 LDAP 服务器对象中，（您应该使用 iManager 进行此更改，ConsoleOne 管理单元不再更新和支持）有一个选项可以指定 LDAP 属性映射。

只需将 eDirectory CN 映射到 LDAP uid。

另外，您知道如何在 eDirectory 服务器端使用 DStrace 来观察通过 LDAP 查询传入的事件吗？

（eDir serverIP:8008 for Netware, :8028 if on Linux or Windows/nds 然后跟踪配置，清除所有，启用 LDAP）。