Я занимаюсь настройкой Juniper SRX для выполнения аутентификации LDAP для пользователей, и в моей лаборатории возникла проблема. Я уверен, что здесь сказываются мои собственные плохие навыки AD, но я наблюдаю странное поведение:
Я пытаюсь разрешить любому пользователю в группе CN=german_users. К нему назначены два пользователя, однако их путь в редактировании ADSI этого не отражает: CN=german_user_1,OU=Germany,OU=Europe...
Не должно быть CN=german_user_1,CN=german_users,OU=Germany,OU=Europe...?
Мне трудно сослаться на конкретную группу на SRX. Если бы я мог вычислить абсолютный путь к пользователю, я уверен, это было бы просто.
Как я:
а) Подтвердите свой путь
и / или
б) Изменить путь пользователя, который будет включен в группу?
Спасибо!
Изменить: я должен отметить, что я не могу просто использовать любую учетную запись в «OU». Мне нужно использовать определенные группы в одном подразделении для предоставления различного доступа.
В конфигурации политики SRX обратитесь к группе (или группам), используя CN («german_users»), а не DN («CN = xxxx, ...»). Достаточно.
Только ваш администратор AD может дать вам фактический путь OU к объекту. К счастью, информация AD в основном доступна для чтения всем в домене, поэтому, если у вас есть клиент ldap, вы можете просто выполнить поиск этого объекта и получить его DN (DistinguishedName). Вы можете искать по имени, имени пользователя AD (samAccountName) и т. Д.
Вам не нужно менять OU пользователя, чтобы присоединиться к группе, это две разные вещи. Вам просто нужно добавить пользователя в группу с помощью ADUC mmc。