Я пытаюсь узнать минимальные разрешения, необходимые для привязки LDAP через SASL. Я уже давно привык к AD, так что простите, пожалуйста, за незнание. Я знаю, что для выполнения привязки достаточно обычного пользователя домена, но у меня есть команда, которая хочет иметь возможность дополнительно ограничивать разрешения, необходимые для учетной записи службы привязки. Например, должна ли учетная запись службы привязки иметь возможность отображать содержимое базового DN или она должна иметь возможность читать memberof?
Это для привязки SASL, которая выполняет глобальную групповую аутентификацию и ищет членов только по одному конкретному базовому отличительному имени. Если кто-то может помочь, они спасли бы жизнь. Я далеко не специалист по AD.