[AD] LDAP 동기화 필터링

스팸 필터 솔루션에서 로그인 문제가 있어 LDAP 연동으로 변경함.

변경 후, 사용자만 동기화되고 그룹 메일은 동기화 되지 않음.

수동으로 그룹 메일을 추가했으나, 동기화 될 때마다 수동으로 추가한 계정이 삭제 됨.

솔루션 업체 측에서 해결이 불가능하다고 답변 받았으나, LDAP 동기화 필터 수정으로 해결 함.

 

 

# 기존 LDAP 동기화 필터 설정 (LDAP 사용자만 동기화)

(&(objectCategory=person)(objectClass=user)(cn=*))

# 변경 값(사용자 또는 그룹 동기화)

(|(&(objectCategory=person)(objectClass=user)(cn=*))(&(objectCategory=group)(cn=*)))

여러 필터 쿼리를 조합하여 원하는 객체만 필터 가능하며,

ldap 다른 논리 연산자와는 다르게 연산자가 연산 대상 앞에 온다.

(<연산자>(피연산자1)(피연산자2)(···))

따라서 아래와 같이 설명할 수 있다.

(&(objectCategory=person)(objectClass=user)(cn=*))
	=> 모든 user 객체

(&(objectCategory=group)(cn=*))
	=> 모든 group 객체
    
(|(&(objectCategory=person)(objectClass=user)(cn=*))(&(objectCategory=group)(cn=*)))
	=> 모든 user 객체 또는 모든 group 객체

 

LDAP Base DN과 LDAP 동기화 속성이 되어있기 때문에 원하는 ou내에 있는 메일이 있는 계정만 동기화 가능.

# LDAP BASE DN
ou=<ORGANIZATION>,dc=<DOMAIN>,dc=co,dc=kr

# LDAP 동기화 속성
mail=mail,name=displayName

 

 

참고 사이트:

https://social.technet.microsoft.com/wiki/contents/articles/5392.active-directory-ldap-syntax-filters.aspx

Active Directory: LDAP Syntax Filters - TechNet Articles - United States (English) - TechNet Wiki