Atributo memberOf do Active Directory

O CA Directory emula a capacidade do Active Directory de preencher automaticamente o atributo memberOf quando ele retorna entradas de usuário ou as procura. O atributo memberOf contém todos os DNs (Distinguished Names - Nomes Diferenciados) do grupo do qual a entrada é integrante.
cad126br
O CA Directory emula a capacidade do Active Directory de preencher automaticamente o atributo memberOf quando ele retorna entradas de usuário ou as procura. O atributo memberOf contém todos os DNs (Distinguished Names - Nomes Diferenciados) do grupo do qual a entrada é integrante.
O CA Directory atualiza o atributo memberOf a partir de uma entrada toda vez que um DN de entrada é incluído ou removido de um grupo.
Exemplo: mostrar as informações de memberOf para um grupo
O exemplo a seguir retorna os grupos do qual
jsmith01
é integrante. Se uma entrada estiver nos grupos do operador administrator e backup, então, o retorno da entrada
cn=jsmith01
 incluirá o grupo do qual
jsmith01
 é integrante:
dn: cn=Administrators,ou=Groups,o=CA,c=AU member: cn=jsmith01,ou=Users,o=CA,c=AU member: ... dn: cn=Backup Operators,ou=Groups,o=CA,c=AU member: cn=jsmith01,ou=Users,o=CA,c=AU member: ... dn: cn=jsmith01,ou=Users,o=CA,c=AU memberOf: cn=Administrators,ou=Groups,o=CA,c=AU memberOf: cn=Backup Operators,ou=Groups,o=CA,c=AU
Considerações sobre a implementação de memberOf
Quando um novo usuário for provisionado, adicione a entrada do usuário antes da atribuição a um grupo.
A integridade referencial não pode ser garantida. Se um grupo for adicionado ao mesmo tempo que um grupo estiver sendo removido, o usuário poderá ser deixado em um grupo que não existe mais. Para impedir que os usuários fiquem em um grupo que não existe, trate as atualizações de grupo com um único aplicativo.
É recomendável que você renomeie os grupos executando uma operação de exclusão e uma de adição, caso contrário, o nome alterado não será refletido no atributo memberOf. Se esse erro ocorrer, um alarme de advertência será emitido.
Ativar o atributo memberOf
Para ver a quais grupos uma entrada pertence, você pode ativar a função memberOf.
Siga estas etapas:
  1. Adicione um ou mais DNs sob o grupo memberOf e recipientes de usuários. Insira as seguintes configurações:
    set memberof-user-containers = <DN>, ...; set memberof-group-containers = <DN>, ...;
    ambos os itens devem ser definidos, caso contrário, o DSA gerará um alarme crítico e será encerrado.
  2. Salve as alterações e a configuração.
    A funcionalidade memberOf está ativada. Para exibir os valores configurados, você pode usar o comando de console 'get assoc';.
Observação:
o esquema do atributo memberOf é obrigatório, mas não é necessário incluí-lo na entrada objectClass. Marcar o atributo ‘no-user-modification’ no esquema como atualizações diretas de memberOf pode causar problemas de integridade nos dados. Para obter mais informações, consulte DXHOME/config/schema/sunone.dxc.
Controles de acesso
A atualização do grupo é executada com as credenciais do usuário da vinculação. O DSA aciona a atualização de memberOf e, portanto, ignora os controles de acesso e também a verificação do esquema.
Se um DSA separado atender a subárvore do usuário, o DSA que estiver lidando com a atualização do grupo irá requerer o sinalizador de confiança 'trust-dsa-triggered-operations'.
Ativar memberOf em um ambiente existente
Para ativar o recurso memberOf em uma implantação existente, preencha os dados de memberOf por meio de um despejo e recarregue todas as entradas do grupo pelo front-end. Devido à carga que isso gera, você não deve fazê-lo durante horários de pico ou faça-o quando os aplicativos não estiverem acessando o diretório.
Para ativar memberOf em um ambiente existente
  1. Execute o seguinte comando para ajudar a garantir que as entradas não contenham o atributo memberOf.
    dxsearch - h{host} - p{port} -b "ou=Users,o=CA,C=AU" "(memberOf=*)" memberOf
    As entradas que contêm o atributo memberOf são retornadas. Remova memberOf de todas as entradas retornadas.
  2. Recupere e armazene os grupos.
    dxsearch -h{host} -p{port} -b "ou=Groups,o=CA,C=AU" "(member=*)" member objectClass > groups.ldif dxsearch -h{host} -p{port} -b "ou=Groups,o=CA,C=AU" "(uniqueMember=*)" uniqueMember objectClass >> groups.ldif
  3. Atualize groups.ldif para remover o resumo da pesquisa.
  4. Remova os grupos (verifique se memberOf não foi configurado).
    cat groups.ldif | grep "dn: " | awk '{print $2}' | dxdelete -h{host} -p{port}
  5. Ative a funcionalidade memberOf, reinicie e reinicialize os DSAs.
  6. Adicione grupos.
    cat groups.ldif | dxmodify -h{host} -p{port} - a
Exemplo: migração
Esta migração de exemplo mostra como você pode exportar recipientes de usuários e grupos:
set memberof-group-containers = <c AU><o CA><ou Groups>; set memberof-user-containers = <c AU><o CA><ou Users>;
Como as atualizações de memberOf são disparadas
Quando uma entrada de grupo ou integrante é atualizada, o CA Directory pode acionar uma atualização de memberOf. Na descrição a seguir, a entrada de grupo é groupOfNames ou groupOfUniqueNames e um integrante inclui um uniqueMember.
A seguir encontram-se os tipos de atualização que podem disparar a atualização de memberOf:
  • Modificar a adição de um ou mais DNs ao atributo do integrante da entrada do grupo
  • Modificar a remoção de um ou mais DNs do atributo do integrante da entrada do grupo
  • Adicionar entrada de grupo contendo um ou mais atributos de integrante do DN
  • Remover a entrada de grupo contendo um ou mais atributos do integrante do DN
Quando um DSA de dados recebe uma solicitação de modificação, ocorre o seguinte:
  1. O CA Directory inspeciona seu conteúdo para determinar se as seguintes condições são verdadeiras:
    • O baseObject da atualização é subordinada a um DN a partir da lista dos 'memberof-group-containers' configurados.
    • O baseObject existe para uma solicitação de modificação ou exclusão, e baseObject não existe para uma solicitação de adição.
    • A atualização se aplica localmente.
    • O usuário que está executando a atualização tem o devido AC para executar a operação.
  2. Para cada atributo de integrante subordinado a um DN da lista de 'memberof-user-containers' configurados:
    1. A solicitação é executada na entrada do usuário, o DN do grupo é adicionado ou removido de memberOf e uma modificação de reversão é criada.
    2. Se a solicitação for bem-sucedida, então, uma modificação de reversão será inserida na lista de reversões. Se ocorrer um erro, será realizada uma reversão.
  3. Se os atributos de memberOf foram atualizados para todas as entradas de usuário, o seguinte ocorrerá:
    1. Uma atualização de grupo será executada.
    2. Se ocorrer um erro, as atualizações de memberOf serão revertidas.
Replicação de gravação múltipla
As atualizações de associação do grupo recebidas pela gravação múltipla não acionam as atualizações de memberOf. O DSA que estiver executando o preenchimento de memberOf administrará a replicação.