Atributo memberOf de Active Directory

CA Directory emula la capacidad de Active Directory para rellenar automáticamente el atributo memberOf cuando devuelve o busca entradas del usuario. El atributo memberOf contiene todos los nombres distintivos del grupo de los que la entrada es un miembro.
cad140es
CA Directory emula la capacidad de Active Directory para rellenar automáticamente el atributo memberOf cuando devuelve o busca entradas del usuario. El atributo memberOf contiene todos los nombres distintivos del grupo de los que la entrada es un miembro.
CA Directory actualiza el atributo memberOf de una entrada cada vez que el nombre distintivo de la entrada se incluye o se elimina de un grupo.
Ejemplo: Mostrar información del atributo memberOf de un grupo
El ejemplo siguiente devuelve los grupos de los que
jsmith01
es miembro. Si una entrada está en los grupos de operadores de la copia de seguridad y del administrador, el devolver la entrada
cn=jsmith01
incluye el grupo del que
jsmith01
es miembro:
dn: cn=Administrators,ou=Groups,o=CA,c=AU member: cn=jsmith01,ou=Users,o=CA,c=AU member: ... dn: cn=Backup Operators,ou=Groups,o=CA,c=AU member: cn=jsmith01,ou=Users,o=CA,c=AU member: ... dn: cn=jsmith01,ou=Users,o=CA,c=AU memberOf: cn=Administrators,ou=Groups,o=CA,c=AU memberOf: cn=Backup Operators,ou=Groups,o=CA,c=AU
Consideraciones sobre la implementación de memberOf
Cuando se aprovisiona un nuevo usuario, agregue la entrada de usuario antes de asignarla a un grupo.
No se puede garantizar la integridad referencial. Si se agrega un grupo al mismo tiempo que se elimina un grupo, el usuario puede dejarse en un grupo que ya no existe. Para evitar que los usuarios se queden en un grupo que no existe, gestione las actualizaciones de los grupos con una única aplicación.
Se recomienda que se renombre los grupos realizando una operación de supresión y de adición, de lo contrario, el nombre modificado no se reflejará en el atributo memberOf. Si se produce este error, se emitirá una alarma de advertencia.
Activación del atributo memberOf
Para ver los grupos a los que pertenece una entrada, se puede activar la función memberOf.
Lleve a cabo los pasos siguientes:
  1. Agregue uno o más nombres distintivos debajo del grupo memberOf y de los contenedores de usuarios. Introduzca los valores de configuración siguientes:
    set memberof-user-containers = <DN>, ...; set memberof-group-containers = <DN>, ...;
    Se deben establecer ambos elementos, de lo contrario, el agente de sistema de directorio produce una alarma crítica y el cierre.
  2. Guarde los cambios y la configuración.
    La funcionalidad memberOf está activada. Para ver los valores configurados, se puede utilizar el comando de la consolta 'get assoc'.
Nota
El esquema del atributo memberOf es obligatorio pero no es necesario incluirlo en la entrada objectClass. Marque este atributo como 'no-user-modification' en el esquema ya que las actualizaciones directas de memberOf pueden causar problemas de integridad de los datos. Para obtener más información, consulte DXHOME/config/schema/sunone.dxc.
Controles de acceso
Se realiza la actualización del grupo con las credenciales del usuario de enlace. El agente de sistema de directorio activa la actualización de memberOf y, por tanto, omite los controles de acceso y también la comprobación del esquema.
Si un agente de sistema de directorio diferente da servicio al subárbol del usuario, el agente de sistema de directorio que gestiona la actualización del grupo requiere el indicador de confianza 'trust-dsa-triggered-operations'.
Activación de memberOf en un entorno existente
Para activar la función memberOf en una implementación existente, rellene los datos de memberOf a través de un volcado y vuelva a cargar todas las entradas del grupo a través del servidor front-end. Debido a la carga que esta acción generará, se deberá realizar durante las horas de menor tráfico o cuando las aplicaciones no estén accediendo a CA Directory.
Para activar memberOf en un entorno existente
  1. Ejecute el siguiente comando para ayudar a garantizar que las entradas no contienen el atributo memberOf.
    dxsearch - h{host} - p{port} -b "ou=Users,o=CA,C=AU" "(memberOf=*)" memberOf
    Se devuelven las entradas que contienen el atributo memberOf. Elimine memberOf de cualquier entrada que se devuelva.
  2. Recupere y almacene los grupos.
    dxsearch -h{host} -p{port} -b "ou=Groups,o=CA,C=AU" "(member=*)" member objectClass > groups.ldif dxsearch -h{host} -p{port} -b "ou=Groups,o=CA,C=AU" "(uniqueMember=*)" uniqueMember objectClass >> groups.ldif
  3. Actualice groups.ldif para eliminar el resumen de la búsqueda.
  4. Elimine grupos (compruebe que memberOf no está configurado).
    cat groups.ldif | grep "dn: " | awk '{print $2}' | dxdelete -h{host} -p{port}
  5. Active la funcionalidad memberOf y vuelva a iniciar el agente de sistema de directorio.
  6. Agregue grupos
    cat groups.ldif | dxmodify -h{host} -p{port} - a
Ejemplo: Migración
La migración de este ejemplo muestra cómo se pueden exportar los contenedores de grupos y usuarios:
set memberof-group-containers = <c AU><o CA><ou Groups>; set memberof-user-containers = <c AU><o CA><ou Users>;
Cómo se activan las actualizaciones de memberOf
Cuando se actualiza una entrada de grupo o miembro, CA Directory puede activar una actualización de memberOf. En la siguiente descripción, la entrada de grupo es groupOfNames o groupOfUniqueNames y el miembro incluye uniqueMember.
Los siguientes tipos de actualizaciones pueden activar una actualización de memberOf:
  • Modificar la adición de uno o más nombres distintivos al atributo de miembro de la entrada de grupo
  • Modificar la eliminación de uno o más nombres distintivos del atributo de miembro de la entrada de grupo
  • Agregar la entrada de grupo que contiene uno o más atributos de miembro del nombre distintivo
  • Eliminar la entrada de grupo que contiene uno o más atributos de miembro del nombre distintivo
Cuando un agente de sistema de directorio de datos recibe una solicitud de modificación, ocurre lo siguiente:
  1. CA Directory inspecciona el contenido para determinar si todas las condiciones siguientes son verdaderas:
    • El atributo baseObject de la actualización está subordinado a un nombre distintivo de la lista de 'memberof-group-containers' configurada.
    • El atributo baseObject existe para una solicitud de modificación o supresión y no existe para una solicitud de adición.
    • La actualización se aplica de forma local.
    • El usuario que realiza la actualización tiene la autoridad de certificación adecuada para realizar la operación.
  2. Para cada atributo de miembro que está subordinado a un nombre distintivo de la lista de 'memberof-group-containers' configurada:
    1. La solicitud se realiza en la entrada de usuario, el nombre distintivo del grupo se agrega o elimina de memberOf y se crea una modificación de reversión.
    2. Si la solicitud se realiza correctamente, se insertará una modificación de reversión en la lista de reversión. Si se produce un error, se realizará una operación de reversión.
  3. Si se han actualizado los atributos memberOf para todas las entradas de usuario, se producirá lo siguiente:
    1. Se realiza una actualización del grupo.
    2. Si se produce un error, se revierten las actualizaciones de memberOf.
Replicación de multiescritura
Las actualizaciones de los miembros del grupo recibidas por multiescritura no activan las actualizaciones de memberOf. El agente de sistema de directorio que realiza el rellenado de memberOf gestiona la replicación.