IBM 声明:
嵌套 嵌套意味着从 LDAP 服务器到 对组成员属性的请求已包含任何嵌套 组关系,但不是任何动态组成员资格。如果 用户是组“A2”的成员,“A2”是组“A1”的成员, 那么组成员列表包括 A1 和 A2。这个 信息告诉 VMM 即使客户端请求嵌套组 信息,响应已经提供了它。没有进一步的工作需要 由 VMM 完成以满足请求。
如何在 websphere 中实现这一点(连接到 Active Directory),以便如果用户是 A2 的成员,而 A2 是组 A1 的成员,我希望用户同时在 A1 和 A2 中。
我在组属性定义中启用了嵌套组,但是当我浏览用户时,它只显示他们属于组 A2
【问题讨论】:
标签: active-directory ldap websphere
该配置仅帮助 VMM 了解从 LDAP 服务器返回的属性中预期的内容。 VMM 通过使用包含成员资格的 LDAP 提供的属性来执行成员资格的快速查找。您可以定义它是嵌套、全部还是直接的配置元素仅有助于 VMM 在需要执行进一步操作时获得提示。 一切都取决于从 LDAP 返回的值。在您的情况下是 Active Directory。通常它是 memberOf 和来自https://msdn.microsoft.com/en-us/library/ms677943%28v=vs.85%29.aspx
成员
The memberOf attribute is a multi-valued attribute that contains groups of which the user is a direct member, except for the primarygroup,由 primaryGroupId 表示。组成员身份是 取决于此属性所在的域控制器 (DC) 检索到:
At a DC for the domain that contains the user, memberOf for the user is complete with respect to membership for groups in that域名;但是,memberOf 不包含用户在 其他域中的域本地和全局组。 在 GC 服务器上,用户的 memberOf 对于所有通用组成员身份都是完整的。
If both conditions are true for the DC, both sets of data are contained in memberOf. Be aware that this attribute lists the groups that contain the user in their member attribute—it does not contain the recursive list嵌套的前辈。例如,如果用户 O 是组 C 的成员 并且组 B 和组 B 嵌套在组 A 中,memberOf 属性 的用户 O 将列出组 C 和组 B,但不列出组 A。
This attribute is not stored—it is a computed back-link attribute.
memberOf 仅包括直接成员。结合您所做的配置,VMM 只会检查 memberOf 内部的值,不会执行任何额外的 LDAP 调用。
现在我有太多选择了。当您使用 API 或或直接调用 VMM 时,您是否希望在您的应用程序中拥有 J2EE 角色的嵌套组或。我不想推测我把它留在声明中
memberOf 返回平面成员,也就是直接成员,VMM 需要执行额外的调用来获取完整信息。通过设置嵌套的 VMM 将不会执行任何额外的调用
【讨论】:
您需要从nested 切换到direct,以告诉VMM 执行额外的搜索,因为AD 只返回直接成员。详情请见Locating user group memberships in a Lightweight Directory Access Protocol registry。
【讨论】: