AS
ага, как-то так
Size: a a a
2021 February 10
DG
ок, короче говоря, единственное, чего не хватает, это возможность ссылаться на конкретные аттрибуты внутри DN пользователя (который только в идеальном случае как строка совпадает с bind_dn)
D
ок, короче говоря, единственное, чего не хватает, это возможность ссылаться на конкретные аттрибуты внутри DN пользователя (который только в идеальном случае как строка совпадает с bind_dn)
DG
если научится после удачного байнда извлекать аттрибуты из DN пользователя (?=bind_dn) и ссылаться на них в подстоновках, то все заработает
DG
как бы вернулись к тому, с чего начинали
DG
с единственной поправкой, что DOMAIN\{user_name} - не дает тот DN который нужно
D
если научится после удачного байнда извлекать аттрибуты из DN пользователя (?=bind_dn) и ссылаться на них в подстоновках, то все заработает
Да, т.е. нужно искать пользователя по любому...
D
с единственной поправкой, что DOMAIN\{user_name} - не дает тот DN который нужно
принять что
bind_dn != user_dn
и искать пользователя
bind_dn != user_dn
и искать пользователя
D
ок, короче говоря, единственное, чего не хватает, это возможность ссылаться на конкретные аттрибуты внутри DN пользователя (который только в идеальном случае как строка совпадает с bind_dn)
ссылатся на атрибуты в group-searchfilter не надо.
member: userdn - всегда
member: userdn - всегда
D
вам только нужно найти userdn
DG
ок.. иметь сконфигурированный admin account - это самое последнее, на что мы пойдем, скажу сразу )
D
ок.. иметь сконфигурированный admin account - это самое последнее, на что мы пойдем, скажу сразу )
в вашем случае он не нужен, такое нужно когда пользователи синхронизируются автоматом по расписанию даже ни разу не залогинившись... у нас это 0.1%
DG
если узнать used DN можно без админа, то кул
D
если узнать used DN можно без админа, то кул
можно (userDn)
D
я сейчас ещё заметил, что вам надо groupNameAttribute (откуда вытаскивать имя группы для матчинга на локальную роль). оно тоже может быть в разных атрибутах в зависимости от упоротости IT
DG
есть это
DG
<attribute>
DG
это именно это
D
<attribute>
а да, по диагонали прочёл
D
с единственной поправкой, что DOMAIN\{user_name} - не дает тот DN который нужно
как-то так (bind_dn=username ):
<username>DOMAIN\{user_name}</username>
<user_filter>(&(objectClass=person)(samAccountName={user_name}))</user_filter>