Buenas lista, quiero hacerles una consulta a ver si alguien me puede ayudar con este problema que ya no se que hacer, la cuestión es que estoy trabajando en una empresa y le estoy configurando la clásica restricción nacional/internacional contra un grupo del Active Directory de Windows y me esta dando un problema a la hora de obtener a que grupos pertenece un usuario (el atributo memberOf) esto es lo que estoy haciendo:
Con algunos usuarios me funciona pero con otros no , no se si hay que configurar en el AD algo para publicar la información de los usuarios o algo de eso porque, por ejemplo tengo el usuario X en el AD y cuando ejecuto lo siguiente: ldapsearch -D "cn=******,ou=****,ou=******,ou=******,dc=diveppr,dc=co,dc=cu" -w **** -p 389 -h ****** -b "ou=*****,dc=diveppr,dc=co,dc=cu" -s sub "(&(objectclass=user)(Userprincipalname=x...@diveppr.co.cu))" Me muestra lo siguiente: ======================================================================================================================= # extended LDIF # # LDAPv3 # base <ou=*****,dc=diveppr,dc=co,dc=cu> with scope subtree # filter: (&(objectclass=user)(Userprincipalname=x...@diveppr.co.cu)) # requesting: ALL # # ************, Administradores DivepPR, Diveppr, Divep pr.co.cu dn:: Q049QmxhcyBIZXJuw6FuZGV6IEhlcm7DoW5kZXosT1U9QWRtaW5pc3RyYWRvcmVzIERpdmVwU FIsT1U9RGl2ZXBwcixEQz1EaXZlcHByLERDPWNvLERDPWN1 memberOf: CN=pfSense_admins,OU=pfsense,OU=services,OU=Diveppr,DC=Diveppr,DC=co ,DC=cu memberOf: CN=usuariosconcorreointernacional,OU=UsuariosConCorreoInternacional, OU=Diveppr,DC=Diveppr,DC=co,DC=cu memberOf: CN=KLAdmins,CN=Users,DC=Diveppr,DC=co,DC=cu memberOf: CN=Grupo Administradores DIVEPPR,OU=Administradores DivepPR,OU=Divep pr,DC=Diveppr,DC=co,DC=cu memberOf: CN=Grupo Diveppr,OU=Diveppr,DC=Diveppr,DC=co,DC=cu memberOf: CN=Group Policy Creator Owners,CN=Users,DC=Diveppr,DC=co,DC=cu memberOf: CN=Domain Admins,CN=Users,DC=Diveppr,DC=co,DC=cu memberOf: CN=Enterprise Admins,CN=Users,DC=Diveppr,DC=co,DC=cu memberOf: CN=Schema Admins,CN=Users,DC=Diveppr,DC=co,DC=cu memberOf: CN=Administrators,CN=Builtin,DC=Diveppr,DC=co,DC=cu accountExpires: 9223372036854775807 adminCount: 1 badPasswordTime: 130916643980781250 badPwdCount: 0 codePage: 0 cn:: QmxhcyBIZXJuw6FuZGV6IEhlcm7DoW5kZXo= countryCode: 0 displayName:: QmxhcyBIZXJuw6FuZGV6IEhlcm7DoW5kZXo= dSCorePropagationData: 20151103200938.0Z dSCorePropagationData: 20110601160107.0Z dSCorePropagationData: 20101123185731.0Z dSCorePropagationData: 16010102123306.0Z givenName: ********** instanceType: 4 lastLogoff: 0 lastLogon: 130917293099531250 logonCount: 23410 distinguishedName:: Q049QmxhcyBIZXJuw6FuZGV6IEhlcm7DoW5kZXosT1U9QWRtaW5pc3RyYW RvcmVzIERpdmVwUFIsT1U9RGl2ZXBwcixEQz1EaXZlcHByLERDPWNvLERDPWN1 objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=Diveppr,DC=co,DC=cu objectClass: top objectClass: person objectClass: organizationalPerson objectClass: user objectGUID:: x1TtgD6eWEyG/STU98nZGg== objectSid:: AQUAAAAAAAUVAAAAa9ZiBCDdczlDFwoyagUAAA== primaryGroupID: 513 pwdLastSet: 130259993802500000 name:: QmxhcyBIZXJuw6FuZGV6IEhlcm7DoW5kZXo= sAMAccountName: ***** sAMAccountType: 805306368 scriptPath: mapeoJ.bat servicePrincipalName: MSSQLSvc/aplications.Diveppr.co.cu:1433 servicePrincipalName: MSSQLSvc/***.Diveppr.co.cu:1433 servicePrincipalName: MSSQLSvc/vivian.Diveppr.co.cu:1433 sn:: SGVybsOhbmRleiBIZXJuw6FuZGV6 userAccountControl: 66048 userPrincipalName: ***@Diveppr.co.cu uSNChanged: 8404927 uSNCreated: 6910110 whenChanged: 20140312164356.0Z whenCreated: 20100519224139.0Z # search result search: 2 result: 0 Success # numResponses: 2 # numEntries: 1 ======================================================================================================================== O sea un grupo de información incluyendo el atributo memberOf que lo necesito en la configuración de esa restricción, pero en el AD existen otros usuario que cuando los agrego a ese grupo (usuariosconcorreointernacional) por el AD, como por ejemplo el usuario y. Y les muestro la consulta que hice: ldapsearch -D "cn=*****,ou=*****,ou=******,ou=******,dc=diveppr,dc=co,dc=cu" -w ******** -p 389 -h ******** -b "ou=*****,dc=diveppr,dc=co,dc=cu" -s sub "(&(objectclass=user)(Userprincipalname=y...@diveppr.co.cu))" Y mira lo que me muestra: ===================================================================================================================== # extended LDIF # # LDAPv3 # base <ou=diveppr,dc=diveppr,dc=co,dc=cu> with scope subtree # filter: (&(objectclass=user)(Userprincipalname=ale...@diveppr.co.cu)) # requesting: ALL # # ******, auditoria y control, Usuarios Empresa DivepPR, Diveppr, Dive ppr.co.cu dn: CN=*******,OU=auditoria y control,OU=Usuarios Empresa DivepPR,OU=Div eppr,DC=Diveppr,DC=co,DC=cu codePage: 0 cn: Aleida Peraza countryCode: 0 displayName: ******** givenName: *********** distinguishedName: CN=********,OU=auditoria y control,OU=Usuarios Empresa DivepPR,OU=Diveppr,DC=Diveppr,DC=co,DC=cu objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=Diveppr,DC=co,DC=cu objectClass: top objectClass: person objectClass: organizationalPerson objectClass: user objectGUID:: PzrPqSBRikugeUmmIRnbLQ== objectSid:: AQUAAAAAAAUVAAAAa9ZiBCDdczlDFwoymQQAAA== primaryGroupID: 513 name: *********** sAMAccountName: *********** sAMAccountType: 805306368 userPrincipalName: *********@Diveppr.co.cu # search result search: 2 result: 0 Success # numResponses: 2 # numEntries: 1 ================================================================================================================= Si comparan el resultado de esta información con el del usuario anterior, se darán cuenta de que no se muestra la misma información aunque yo quiero que me muestre el memberof que es con lo cual yo hago el filtro para que me devuelva el grupo. Y no me lo muestra. Resumiendo y mi pregunta, porque si y agrego ese usuario al grupo y hago esa consulta no me devuelve el memberof de los grupos ??, Creen que haya que hacer algo en el AD para publicar toda la información de un usuario ??. Es es muy impostante porque si esa información del usuario no se puede ejecutar lo de las restricciones porque tengo puesto este filtro: query_filter = (&(objectclass=person)(userPrincipalName=%s)(memberOf=CN=usuariosconcorreointernacional,OU=UsuariosConCorreoInternacional,OU=Diveppr,DC=Diveppr,DC=co,DC=cu)) El usuario que me muestra la información pertenece una OU que tiene ciertas políticas y el resto de los usuarios están organizados por OU según sus departamentos. Saludos ... -- “Los usuarios dedican treinta segundos a leer la página de inicio de una web. En ese tiempo y en pocas palabras, la web debe mostrar lo que ofrece.” Jakob Nielsen Noviembre 13-14: Final Caribeña 2015 del Concurso de Programación ACM-ICPC https://icpc.baylor.edu/regionals/finder/cf-2015 ______________________________________________________________________ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
