Pull to refresh

Comments 4

Этого действительно нет в официальной документаци, что потребовалось статью на хабр писать?
1. Правильный фильтр для поиска пользователя в случае ActiveDirectory будет выглядеть:
(&(sAMAccountName=*)(objectclass=user)(objectcategory=person))
это уже не раз обсуждалось и даже зафиксировано в wiki
2. Искать группу по совпадению CommonName (CN) НЕЛЬЗЯ!!! У вас в домене в разных organizationalUnit могут быть группы с одинаковым CommonName. Уникальный атрибут для группы например samAccountName. Откройте к примеру документацию на PS командлет Get-ADGroup — там чётко перечислено что может быть уникальным идентификатором группы и CommonName в этом списке нет!

Отличный пример, как делать не надо – не стоит настраивать небезопасное подключение LDAP. Во-первых, потому что пароль "от учетки, которая имеет доступ к AD" летит по сети открытым текстом, а во-вторых, не проверяется, куда именно он летит (точно ли это тот контроллер, в не что-то иное с тем же именем).
Кстати, как многие уже наверное в курсе, в марте Microsoft выпустит патч, закрывающий возможность таких вот небезопасных подключений к AD.


Статья в целом выглядит как детальная пошаговая инструкция для тех, кто к настройке доступ имеет, а что именно настраивать будет – пока не очень и потому, видимо, настолько пошагово. Скорее всего, всё то же самое присутствует в официальной инструкции. Пять секунд в Гугле выдают такой результат: https://docs.oracle.com/middleware/12212/bip/BIPAD/GUID-CAE135ED-8212-430D-ABF7-837CFA672178.htm#BIPAD4829 Здесь, к слову, показано правильно с LDAPS

Зачем дублировать информацию, которая ранее была гораздо лучше описана?
habr.com/ru/post/414939

Информации по настройке LDAP Auth в OBI полно, как в официальных источниках, так и неофициальных.
А вот по Kerberos SSO, что гораздо интереснее, и настраивается куда сложнее, документация старая и не совсем корректно составлена.
Sign up to leave a comment.

Articles