ldap过滤用户

【背景】

客户内网有AC6.1设备一台，内网部署有AD域，域里的用户很多。客户将需要上网的用户都加入到允许上网的安全组里了。现在客户的想法是只同步这个安全组的用户到AC上，再根据组关联上网策略。

【分析】

因域用户太多，都同步到AC设备上会加重设备负担，且设备用户数有限制

同时允许上网的用户是分布在不同的OU里的。不同的OU匹配不同的权限，

所以同步用户不要根据OU同步。

【工具】

Ldapbrowser

【过程】

1、使用ldapbrowser软件连接域控制器，读取用户属性。

如上图，可以看到用户1是加入到了安全组aa。

2、在用户同步策略的过滤参数中直接填入(memberOf=CN=aa,CN=Users,DC=abos,DC=com)

设置好后，同步发现是不行的：OU匹配不到上面的过滤参数，同步不过来。用户是存在OU里的。也就没法同步了

3、修改过滤参数，改为：(|(!(objectclass=user))(memberOf=CN=aa,CN=Users,DC=abos,DC=com))

就正常了。

上面过滤语句解读：

(!(objectclass=user) 非用户属性

(memberOf=CN=aa,CN=Users,DC=abos,DC=com)  隶属于aa安全组的

| 或关系。

另：如果是AC11版本，没有ldap用户同步到本地组的设置了，ldap用户是同步到域用户里

也要实现上面的需求，只取隶属于这个安全组的用户，可以在外部认证服务器里的用户过滤中填入(memberOf=CN=aa,CN=Users,DC=abos,DC=com)即可

使用域认证，这种需求的用户还是很多的，如果觉得内容对大家有帮助，别忘了给楼主点赞和打赏哦！

感谢分享，学习一下~

非常好的实践教程，谢谢分享

打卡学习，感谢大佬分享！