OpenDirectory/LDAP查询语法以查找GADS组中的所有用户

Question

我想要构造一个LDAP查询，以查找我的OSX10.9Server上的"Google用户“组(简称: googleappsusers)中的所有用户。当我在Google目录同步(GADS)中运行以下查询时，它会返回零用户，尽管我确实有一个用户在googleappsusers组中。

(&(objectCategory=users)(memberOf=cn=googleappsusers,cn=groups,dc=nyc1,dc=domain,dc=com))

Answer 1

不使用memberOf用户属性(OSXServer10.7.5)。

相反，它完全依赖于memberUid组属性来枚举作为给定组成员的用户。因此，不能通过查询用户对象来确定用户组成员身份，而是必须枚举与该用户对应的所有组的memberUid属性，如果希望获得特定于用户的组成员资格的完整列表。

当然，可以修改模式以添加memberOf属性，但也必须完成必要的后续工作，使组memberUid属性值和用户memberOf属性值保持同步。

这与支持memberOf用户属性并包含使属性对的值保持同步的机制(、OpenLDAP和memberOf覆盖)形成了鲜明的对比。

谷歌应用程序目录同步管理指南第28页指出：

There are three ways to mark your Google Apps users in LDAP:
• OU: Set up an organizational unit (OU) and move Google Apps users into that unit.
• Group: Create a new group in LDAP, and add Google Apps users as a member of that group.
• Custom Attribute: Create a custom attribute for your users, and set that attribute for new users.

我的猜测是，您可以通过这两种方法来解决这个任务，但是只有当您自己向用户对象添加了memberOf属性时，才能查询用户的memberOf属性。它将被视为具有的自定义属性。

ldap对象中的某些属性是空的，这并不是一个值得关注的问题，这仅仅意味着它们包含在ldap模式中，但是它们的值还没有为ldap对象设置。在任何开箱即用的ldap实现中，您都会看到类似的情况。

1

Answer 2

我通常使用Softerras LDAP浏览器浏览LDAP树，以找到正确的语法/更快的路径。这里有很多免费的ldap浏览器，这正是我在这条线上捡到的，不需要交换的浏览器。

如果您有mac客户端：http://en.m.wikipedia.org/wiki/List_的_LDAP_软件，那么osx也有几种替代方案。