LDAP Java - 在可信域中搜索组成员资格

Question

有两个外部森林可信域：域A和域B。

DomainA中包含全局组GG-1和GG-2，和用户是这些组的成员：

• U1的memberOf GG-1
• U2的memberOf GG-2

DomainB包含域本地组DLG-1和组GG-1和GG-2是这个群组的成员。

现在，当U1通过DomainA认证时，我们预计会得到GG-1和DLG-1的成员资格，但我们只能得到GG-1。

无论如何，我们可以直接或间接使用Java来识别用户的跨域组成员身份吗？

Answer 1

如果您使用Java，那意味着您使用LDAP来查询Active Directory。你想使用默认的LDAP端口无法工作。

但是，如果您使用LDAP在端口3268上查询全局编录，则可以检索跨域成员资格。

编辑：如果这不会产生任何结果，或者您需要Universal Group（不太可能）或GC需要正确设置。

EDIT2：既然你没有GC，唯一的选择是创建于公元一个参照对象指向外部域。请参阅http://support.microsoft.com/kb/241737如何设置。

然后您必须配置您的Java LDAP环境以遵循如下所示的引用：env.put(Context.REFERRAL, "follow");。