Active Directory & SRX -用户组

Question

我正在为用户配置Juniper以进行LDAP身份验证，在我的实验室中遇到了一个问题。我敢肯定这是我自己糟糕的广告技巧，但我看到了一些奇怪的行为：

我正在尝试允许组CN=german_users中的任何用户。两个用户被分配给它，但是他们在ADSI编辑中的路径没有反映出：CN=german_user_1,OU=Germany,OU=Europe...。

不应该是CN=german_user_1,CN=german_users,OU=Germany,OU=Europe...吗？

我很难在SRX上引用特定的组。如果我能找出用户的绝对路径，我肯定这会很简单。

我如何：

( a)验证它们的路径

和/或

b)修改要包含在组中的用户的路径？

谢谢!

编辑:我应该注意，我不能简单地使用'OU‘中的任何帐户。我需要在同一个OU中使用特定的组来分配不同的访问权限。

Answer 1

只有AD管理员才能给出对象的实际OU路径。幸运的是，AD信息对于域中的任何人来说都是可读的，所以如果您有任何ldap客户端，您只需搜索该对象并获得它的DN (DistinguishedName)。您可以根据名称、AD用户名(SamAccountName)等进行搜索。

您不需要更改用户的OU来加入一个组，它们是两个独立的东西。您只需使用ADUC mmc将用户添加到组中即可。

Answer 2

在SRX策略配置中，使用CN ("german_users")而不是DN ("CN=xxxx，.“)引用组(或组)。够了。