-
LDAP連携でActive Directoryの特定セキュリティグループ内のメンバーを取り込む方法を教えてください。 グループが階層構造になっている場合は、Proself管理画面のLDAP連携接続設定内、各接続設定画面より指定できる「ユーザーIDのフィルタ」の記述に工夫が必要です。
説明のために、下図のようにドメイン「example.com」のセキュリティグループ内にメンバーが存在する場合を例にとります。
example.com
└ OUdeveloper (OU)
└ GroupA (グループ)
└ User1 (ユーザー)
└ GroupB (グループ)
└ User2 (ユーザー)
上図の場合、通常「ユーザーIDのフィルタ」には以下のように指定すれば、memberOfで指定したセキュリティグループに参加しているメンバーを取り込むことができるように見えます。
(&(objectClass=user)(memberOf=CN=GroupA,OU=OUdeveloper,DC=example,DC=com))
ところが、この場合はmemberOfで指定したセキュリティグループに参加しているセキュリティグループのメンバーを取り込むことができません。(GroupAの直下にいるメンバーUser1しか取り込まれません)
そのため、以下のように「memberOf=」の部分を「memberOf:1.2.840.113556.1.4.1941:=」という形式でフィルタを指定するようにします。
このように指定することで、memberOfで指定したセキュリティグループに参加しているセキュリティグループのメンバーを再帰的に取り込むことができるようになります。
(&(objectClass=user)(memberOf:1.2.840.113556.1.4.1941:=CN=GroupA,OU=OUdeveloper,DC=example,DC=com))※表示上は改行されておりますが1行でご指定ください。
※参考情報(Microsoft):https://docs.microsoft.com/ja-jp/windows/desktop/ADSI/search-filter-syntax
(最終更新日:2022/11/30)