具有從屬引用的 LDAP 分頁查詢未正確處理

09/14/2020

本文內容

本文提供了一些方法來避免使用從屬引用的 LDAP 分頁查詢未正確處理的問題。

原始產品版本： ? Windows 8

原始 KB 編號： ? 2561166

癥狀

你有一個應用程序，使用 ldap_search_ext 或 ldap_search_ext_s，通過分頁搜索來搜索 Active Directory，并且它設置為追蹤引薦。 當從域 NC 的根目錄搜索時，分頁搜索在首頁之后提前結束。

在應用程序中，它收到的分頁 Cookie 為空，因此應用程序將結束查詢。 在網絡跟蹤中，您可以驗證分頁查詢是否返回非空 Cookie 以及一個或多個引用。 大多數查詢在結果集引用時將看不到任何內容，因為通常在域 NC 中搜索的對象不在從屬 NC 中，除非它們也是域 NC。

應用程序也可能在首頁后收到"操作錯誤"。

域控制器返回以下命名上下文的從屬引用：

搜索林根時：配置 NC (后跟架構 NC 引用)

搜索林根目錄時：ForestDnsZones NC

DomainDnsZones NC

所有子域。 并遞歸所有子域下整個域樹。

原因

分頁查詢期間引用引用時存在多個問題：

當對位于同一臺服務器上的命名上下文進行 (請參閱 1.，也可能是 2。 和 3。 上述) ，同一 LDAP 會話上發生查詢，擦除在客戶端 LDAP 運行時的主查詢中返回的分頁 Cookie。

當所引用的最后一個引用也超過頁面大小時，從上一個 NC 接收到的引薦 Cookie 將用于繼續主搜索。 這會導致 LDAP 搜索失敗，出現"操作錯誤"，因為 Cookie 不符合服務器有關搜索的索引和索引位置的知識。

當使用不帶 SSL 的簡單綁定完成主要搜索時，引用的查詢將失敗并出現"操作錯誤"，因為 LDAP 客戶端設計為在引用引用時不發送純文本憑據。

解決方案

此問題目前尚未解決。

可以在應用程序中使用以下方法避免這些問題：

使用避免服務器返回從屬引用的基本 DN，例如，搜索域根對象下的 OU。

搜索全局編錄，而不是林根域 NC。 你需要確保所需的所有屬性都存在于 GC 中，并且確實希望整個林而不是之前搜索的域樹。

如果你不希望自動追蹤引薦：由于默認情況下會追蹤引薦，請使用帶標志ldap_set_option LDAP_OPT_REFERRALS關閉引薦查詢。 完成主查詢后，始終可以手動追蹤引用。

在搜索時LDAP_SERVER_DOMAIN_SCOPE_OID，它將在搜索域根時關閉延續引用。

創作挑戰賽新人創作獎勵來咯，堅持創作打卡瓜分現金大獎

總結

以上是生活随笔為你收集整理的java ldap 分页_具有从属引用的 LDAP 分页查询未正确处理的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。