INFORMACE: Jak dotaz výrobců serveru LDAP pomocí ADSI

Překlady článku Překlady článku
ID článku: 251195 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Zprostředkovatel Lightweight Directory Access Protocol (LDAP) pro Active Directory Service Interfaces (ADSI) se používá k načtení informací z výrobců serverech LDAP. Tento článek popisuje několik problémů, mohou vzniknout a jak překonat jejich.

Další informace

Při použití ADSI načíst informace ze serveru LDAP výrobců potřebujete:
  • Určit dostupnost informace o schématu.
  • Získat správné ověření.
  • Zabránit hledání na neexistující kontejner.

Určit dostupnost informací schématu

V souladu s Request for (Comments) 2251 se servery LDAP verze 3 očekává vystavit atribut subSchemaSubEntry mimo kořenový adresář služby organizace (rootDSE). ADSI používá tento atribut k vyhledání subschema informace, které se potom pokusí o ověření a mezipaměti.

Další informace o do ADSI mezipaměti subschema klepnutím na článek číslo článku databáze Microsoft Knowledge Base:
251189INFORMACE: Vyhledání mezipamětí ADSI schématu serveru LDAP
ADSI používá informace subschema vystavit správné rozhraní dané třídy a atributy správnou syntaxi načíst z mezipaměti vlastností.

Pokud nelze najít nebo správně ověřit informace subschema ADSI, používá výchozí schéma LDAP verze 2. Protože servery LDAP verze 2 není vystavit subschema, ADSI udržuje informace o schématu interně o mnoha standardních atributů a tříd. Pokud ADSI používá výchozí schéma verze 2, nebude mít přístup k informacím nestandardní schématu včetně vlastní třídy nebo atributy, které byly vytvořeny na serveru.

Pokud je k dispozici žádné informace o syntaxi atributu schématu, je ADSI nelze načíst atribut z mezipaměti vlastností. V tomto případě můžete použít metodu IADsPropertyList.GetPropertyItem určit syntaxe atributu požadovaná vlastnost. Při zadání hodnoty ADsTYPE vyhnout nutné syntaxe informace o atributu.

Pokud používáte ActiveX Data Objects (ADO) a máte k dispozici, je třeba načíst řetězec ADsPath objektu informace o schématu, vytvořit vazbu na objekt v adresáři a použít metodu IADsPropertyList.GetPropertyItem. Neexistuje žádné řešení pro použití ADO přímo bez informace o schématu.

Získat správné ověření

Ověření klienta LDAP k serveru LDAP s ADSI několika způsoby. Mezi tyto metody pouze jednoduchou vazbu je podporován nativně LDAP vyjádřit pověření na server. V ostatních případech klient a server musí dohodnou metodu obvykle s použití jiného úřadu zabezpečení nebo speciální protokol.

Příznak ADS_SECURE_AUTHENTICATION, což může vést vazby LDAP, který používá Microsoft Windows NT Challenge/Response (NTLM) používá pro instanci metody GetObject (nebo funkci ADsGetObject C). Tato vazba se pravděpodobně nezdaří, protože mnoho výrobců serverů přijmout NTLM. Pokud se nezdaří ověřování zabezpečené vazby omezeny na anonymní vazbu; například jednoduchou vazbu bez jakékoli pověření uživatele. V tomto okamžiku aplikace mohou mít přístup pouze k podmnožině informací (nebo dokonce na žádné informace), v závislosti na konfiguraci serveru.

Této situaci zabránit, provést jednoduchou vazbu pomocí metody OpenDSObject (nebo funkci ADsOpenObject C) a zadejte nulu (žádné příznaky) nebo ADS_FAST_BIND (popsané níže) pro parametr lnReserved. S jednoduchou vazbu předat platné uživatelské jméno attributed (cn = uživatelské_jméno, cn =...) a heslo pro ověření serveru LDAP. K dosažení jednoduchou vazbu s ADO, nastavte vlastnost Zašifrovat heslo objektu ADODB.Connection False a respektive přiřadit attributed uživatelské jméno a heslo k vlastnosti ID uživatele a heslo.

Zabránit hledání na neexistující kontejner

Ve výchozím nastavení provádí ADSI hledání objectClass základní objektu zadaný v dotazu nebo vazbu. Toto hledání se nezdaří, pokud rozlišující název je uveden v adresáři neexistuje.

Předpokládejme například, že, hledání nastavit začínat na "o = Spol, c = cz" pro všechny uživatele v adresáři. Struktura adresáře je například, že je žádné skutečné kontejneru "Spol", ale spíše dva objekty v kořenu adresáře rozlišující názvy "ou = Severní Amerika, o = Spol, c = cz"a"ou = Evropa, o = Spol, c = cz". Hledání objectClass pro problémy ADSI "o = Spol, c = cz" které selže zastavení hledání uživatelů před spuštěním.

Nejsnadnějším řešením tohoto problému je zadat základní objekt, který skutečně existuje v adresáři. Pokud není možné kvůli implementace adresáře, provést požadované hledání s platný základní objekt je nutné zabránit ADSI provádění počáteční objectClass hledání.

Zabránit objectClass hledání na objektu, předat příznak ADS_FAST_BIND v lnReserved parametru metody OpenDSObject (nebo funkci ADsOpenObject C). Protože tento příznak určuje ADSI jeho akce po došlo vazbu, nemá vliv správné ověřování. Poznámka: Tento příznak není k dispozici před ADSI verze 2.5.

Zprostředkovatel ADO pro systém Windows 2000 zpřístupní ADSI příznak vlastnosti objektu ADODB.Connection. Můžete nastavit příznak ADS_FAST_BIND pro tuto vlastnost ADO dotazy zabránit v provádění hledání objectClass. Vlastnost ADSI příznak není v ADSI verze 2.5 pro Microsoft Windows NT verze 4.0 nebo Microsoft Windows 9 x. Možné řešení naleznete v následujícím článku:

223049Postupy: Query Exchange 5.x anonymně prostřednictvím ADSI

Odkazy

Další informace o ADSI naleznete v následujících článcích znalostní báze Microsoft Knowledge Base:
233023Postupy: Najít všechny Zprostředkovatelé ADSI v systému
187529Postupy: Použití ADO objekty přístup prostřednictvím zprostředkovatele ADSI LDAP
251189INFORMACE: Vyhledání mezipamětí ADSI schématu serveru LDAP
223049Postupy: Query Exchange 5.x anonymně prostřednictvím ADSI

Obecné informace o ADSI naleznete na následujícím webu:
http://msdn2.microsoft.com/library/aa772170.aspx

Vlastnosti

ID článku: 251195 - Poslední aktualizace: 28. září 2007 - Revize: 1.3
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Active Directory Service Interfaces 2.5
Klíčová slova: 
kbmt kbinfo kbmsg KB251195 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:251195
Právní omezení pro obsah znalostní báze týkající se produktů, jejichž podpora byla ukončena
Tento článek byl napsán o produktech, pro které společnost Microsoft již neposkytuje nadále podporu. Článek je tedy nabízen v takovém stavu, v jakém je, a nebude již nadále aktualizován.

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com