Consideraciones para la búsqueda de grupos

La información de pertenencia a grupos se suele representar en un servidor LDAP como un atributo del objeto de usuario o como un atributo del objeto de grupo:

  • Como atributo del objeto de usuario

    Cada objeto de usuario tiene un atributo denominado GROUP_LOOKUP_ATTRIBUTE que puede consultar para recuperar todos los miembros del grupo para ese usuario.

  • Como atributo del objeto de grupo

    Cada objeto de grupo tiene un atributo, también denominado GROUP_LOOKUP_ATTRIBUTE, que puede utilizar para listar todos los objetos de usuario que son miembros del grupo. Puede enumerar los grupos para un usuario determinado buscando todos los grupos que listan el objeto de usuario como miembro.

Muchos servidores LDAP se pueden configurar de cualquiera de estas maneras, y algunos dan soporte a ambos métodos al mismo tiempo. Póngase en contacto con el administrador de LDAP para determinar cómo está configurado el servidor LDAP.

Al configurar los módulos de plug-in LDAP, puede utilizar el parámetro GROUP_LOOKUP_METHOD para especificar cómo se debe realizar la búsqueda de grupo:
  • Si necesita utilizar el atributo GROUP_LOOKUP_ATTRIBUTE del objeto de usuario para buscar la pertenencia a grupos, establezca GROUP_LOOKUP_METHOD = USER_ATTRIBUTE
  • Si necesita utilizar el atributo GROUP_LOOKUP_ATTRIBUTE del objeto de grupo para buscar la pertenencia a grupos, establezca GROUP_LOOKUP_METHOD = SEARCH_BY_DN
Muchos servidores LDAP utilizan el atributo GROUP_LOOKUP_ATTRIBUTE del objeto de grupo para determinar la pertenencia. Se pueden configurar tal como se muestra en este ejemplo:
GROUP_LOOKUP_METHOD = SEARCH_BY_DN
GROUP_LOOKUP_ATTRIBUTE = groupOfNames
Microsoft Active Directory normalmente almacena la pertenencia a grupos como un atributo de usuario y podría configurarse tal como se muestra en este ejemplo:
GROUP_LOOKUP_METHOD = USER_ATTRIBUTE
GROUP_LOOKUP_ATTRIBUTE = memberOf
IBM® Tivoli® Directory Server da soporte a ambos métodos al mismo tiempo. Para consultar la pertenencia a grupos de un usuario, puede utilizar el atributo de usuario especial ibm-allGroups, tal como se muestra en este ejemplo:
GROUP_LOOKUP_METHOD = USER_ATTRIBUTE
GROUP_LOOKUP_ATTRIBUTE = ibm-allGroups

Otros servidores LDAP pueden ofrecer atributos especiales similares para ayudar a recuperar la pertenencia a grupos. En general, recuperar la pertenencia a través de un atributo de usuario es más rápido que buscar grupos que listan al usuario como miembro.