検索 
       
[V5] LDAP連携でActive Directoryの特定セキュリティグループ内のメンバーを取り込む方法を教えてください。

グループが階層構造になっている場合は、Proself管理画面のLDAP連携接続設定内、各接続設定画面より指定できる「ユーザーIDのフィルタ」の記述に工夫が必要です。

説明のために、下図のようにドメイン「example.com」のセキュリティグループ内にメンバーが存在する場合を例にとります。

example.com
  └ OUdeveloper (OU)
     └ GroupA (グループ)
        └ User1 (ユーザー)
        └ GroupB (グループ)
           └ User2 (ユーザー)

上図の場合、通常「ユーザーIDのフィルタ」には以下のように指定すれば、memberOfで指定したセキュリティグループに参加しているメンバーを取り込むことができるように見えます。

(&(objectClass=user)(memberOf=CN=GroupA,OU=OUdeveloper,DC=example,DC=com))

ところが、この場合はmemberOfで指定したセキュリティグループに参加しているセキュリティグループのメンバーを取り込むことができません。(GroupAの直下にいるメンバーUser1しか取り込まれません)

そのため、以下のように「memberOf=」の部分を「memberOf:1.2.840.113556.1.4.1941:=」という形式でフィルタを指定するようにします。
このように指定することで、memberOfで指定したセキュリティグループに参加しているセキュリティグループのメンバーを再帰的に取り込むことができるようになります。

(&(objectClass=user)(memberOf:1.2.840.113556.1.4.1941:=CN=GroupA,OU=OUdeveloper,DC=example,DC=com))
※表示上は改行されておりますが1行でご指定ください。

※参考情報(Microsoft):https://docs.microsoft.com/ja-jp/windows/desktop/ADSI/search-filter-syntax

(最終更新日:2022/11/30)