Considerações para consulta de grupo

As informações de associação do grupo são geralmente representadas em um servidor LDAP como um atributo do objeto do usuário, ou como um atributo do objeto do grupo:

  • Como um atributo do objeto do usuário

    Cada objeto de usuário tem um atributo chamado GROUP_LOOKUP_ATRIBUTO que você pode consultar para recuperar toda a filiação do grupo para esse usuário.

  • Como um atributo do objeto do grupo

    Cada objeto do grupo possui um atributo, também chamado de GROUP_LOOKUP_ATRIBUTO, que você pode usar para listar todos os objetos do usuário que são membros do grupo. Você pode enumerar os grupos para um determinado usuário, procurando por todos os grupos que listam o objeto do usuário como membro.

Muitos servidores LDAP podem ser configurados de qualquer uma dessas formas, e alguns suportam ambos os métodos ao mesmo tempo. Consulte o seu administrador do LDAP para determinar como o seu servidor LDAP está configurado.

Ao configurar os módulos de plug-in do LDAP, você pode usar o parâmetro GROUP_LOOKUP_METHOD para especificar como a consulta do grupo deve ser realizada:
  • Se você precisar usar o atributo GROUP_LOOKUP_ATRIBUTO do objeto do usuário para localizar a filiação do grupo, configure GROUP_LOOKUP_METHOD = USER_ATRIBUTO
  • Se você precisar usar o atributo GROUP_LOOKUP_ATRIBUTO do objeto do grupo para localizar a adesão do grupo, configure GROUP_LOOKUP_METHOD = SEARCH_BY_DN
Muitos servidores LDAP usam o atributo GROUP_LOOKUP_ATRIBUTO do objeto do grupo para determinar a adesão. Eles podem ser configurados como mostrado neste exemplo:
GROUP_LOOKUP_METHOD = SEARCH_BY_DN
GROUP_LOOKUP_ATTRIBUTE = groupOfNames
O Microsoft Active Directory geralmente armazena a adesão ao grupo como um atributo de usuário, e poderia ser configurado como mostrado neste exemplo:
GROUP_LOOKUP_METHOD = USER_ATTRIBUTE
GROUP_LOOKUP_ATTRIBUTE = memberOf
O IBM® Tivoli® Directory Server suporta ambos os métodos ao mesmo tempo. Para consultar a associação do grupo para um usuário você pode fazer uso do atributo especial do usuário ibm-allGroups, como mostrado neste exemplo:
GROUP_LOOKUP_METHOD = USER_ATTRIBUTE
GROUP_LOOKUP_ATTRIBUTE = ibm-allGroups

Outros servidores LDAP podem oferecer atributos especiais similares para auxiliar na recuperação da filiação em grupo. Em geral, recuperar a adesão através de um atributo de usuário é mais rápido do que procurar por grupos que listam o usuário como membro.