INFORMAZIONI: Come utilizzare ADSI per eseguire query un server LDAP di terze parti

Traduzione articoli Traduzione articoli
Identificativo articolo: 251195 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

Il provider LDAP (Lightweight Directory Access Protocol) per ADSI (Active Directory Service INTERFACES) Ŕ utilizzato per recuperare informazioni dai server LDAP di terze parti. In questo articolo viene descritto alcuni problemi che possono verificarsi e come risolvere tali.

Informazioni

Quando si utilizza ADSI per recuperare informazioni da un server LDAP di terze parti, Ŕ necessario:
  • Verificare la disponibilitÓ di informazioni sullo schema.
  • Consente di ottenere l'autenticazione corretta.
  • Impedire un ricerca in un contenitore inesistente.

Determinare la disponibilitÓ di informazioni sullo schema

In conformitÓ con Request for Comments (RFC) 2251 LDAP versione 3 server devono esporre un attributo subSchemaSubEntry directory principale dell'organizzazione del servizio directory (il rootDSE). ADSI questo attributo viene utilizzato per individuare le informazioni subschema, che quindi tenta di convalidare e memorizzare nella cache.

Per ulteriori informazioni su come ADSI memorizza nella cache il subschema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
251189INFORMAZIONI: Individuazione uno schema del server LDAP memorizzato nella cache da ADSI
ADSI utilizza le informazioni di subschema per esporre le interfacce appropriate per una determinata classe e recuperare gli attributi della sintassi corretta dalla cache delle proprietÓ.

Se ADSI non individuare o convalidare correttamente le informazioni di subschema, viene utilizzato lo schema versione 2 di LDAP predefinito. PoichÚ LDAP versione 2 server non espongono un subschema, ADSI mantiene informazioni di schema internamente sulle molte classi e attributi standard. Se ADSI utilizza lo schema della versione 2 predefinito, non dispone di accesso alle informazioni dello schema non standard, incluse le classi personalizzate o gli attributi che sono stati creati sul server.

Se informazioni sullo schema sulla sintassi dell'attributo non sono disponibile, ADSI Ŕ Impossibile recuperare l'attributo dalla cache delle proprietÓ. In questo caso, Ŕ possibile utilizzare il metodo IADsPropertyList.GetPropertyItem per specificare una sintassi dell'attributo della proprietÓ richiesta. Quando si specifica un valore ADsTYPE, Ŕ possibile evitare la necessitÓ di informazioni di sintassi di tale attributo.

Se si utilizza Microsoft ActiveX Data Objects (ADO), e non si dispone di disponibili informazioni sullo schema, Ŕ necessario recuperare la stringa ADsPath dell'oggetto, l'associazione all'oggetto nella directory e quindi utilizzare il metodo IADsPropertyList.GetPropertyItem . Non Ŕ disponibile alcuna soluzione per l'utilizzo di ADO direttamente senza informazioni sullo schema.

Ottenere l'autenticazione corretta

Esistono diversi modi per autenticare un client LDAP a un server LDAP con ADSI. Tra questi metodi, il solo un'associazione semplice Ŕ supportata in modo nativo da LDAP per comunicare credenziali al server. In altri casi, il client e il server devono essere conformi al metodo, in genere con l'utilizzo di un'altra autoritÓ di protezione o un protocollo proprietario.

Ad esempio, il metodo GetObject (o la funzione di ADsGetObject in C) utilizza il flag ADS_SECURE_AUTHENTICATION, che potrebbe causare un binding LDAP che utilizza Microsoft Windows NT Challenge/Response (NTLM). Questa associazione Ŕ probabilmente esito negativo poichÚ molti server di terzi non accettano il NTLM. Se l'autenticazione non riesce, l'associazione di protezione Ŕ stato modificato per un binding anonimo; ad esempio, un semplice associare senza le credenziali dell'utente. ╚ possibile che a questo punto, che l'applicazione disponga di accesso solo a un sottoinsieme di informazioni (o anche a Nessuna informazione) a seconda della configurazione server.

Per evitare questa situazione, Ŕ necessario eseguire un'associazione semplice utilizzando il metodo OpenDSObject (o la funzione di ADsOpenObject in C) e specificare zero (Nessun flag) o ADS_FAST_BIND (descritto di seguito) per il parametro lnReserved . Con l'associazione semplice, passare un nome utente con attributo valido (cn = UserName, cn =...) e una password per il server LDAP per la verifica. Per ottenere un'associazione semplice con ADO, impostare la proprietÓ Password di crittografia dell'oggetto ADODB.Connection su FALSE e assegnare rispettivamente il nome utente con attributi e la password alle proprietÓ ID utente e password .

Evitare di una ricerca in un contenitore inesistente

Per impostazione predefinita, ADSI esegue una ricerca di objectClass dell'oggetto base specificato in una query o l'associazione. La ricerca non riesce se il nome distinto Ŕ specificato non esiste nella directory.

Ad esempio, si supponga che che una ricerca sia impostata a partire da "o = corp, c = IT" per tutti gli utenti nella directory. La struttura della directory Ŕ ad esempio che non esiste nessun contenitore "Org" effettivo, ma invece di due oggetti nella directory principale della directory con i nomi distinti di "ou = Europa, o = corp, c = IT"e"ou = Europa, o = corp, c = IT". ADSI emette un cercare objectClass "o = corp, c = IT" che non riesce, interruzione della ricerca per gli utenti prima che venga avviato.

La soluzione pi¨ semplice a questo problema consiste nello specificare un oggetto di base che effettivamente esiste nella directory. Se non Ŕ possibile, a causa dell'implementazione di directory, eseguire la ricerca desiderata con un oggetto di base valido, Ŕ necessario impedire ADSI di eseguire una ricerca objectClass iniziale.

Per evitare che una ricerca objectClass dell'oggetto, passare il flag ADS_FAST_BIND nel parametro lnReserved del metodo OpenDSObject (oppure la funzione di ADsOpenObject in C). PoichÚ questo flag determina le azioni di ADSI, dopo l'associazione, non influenza l'autenticazione corretta. Si noti che questo flag non Ŕ disponibile prima ADSI versione 2.5.

Il provider di ADO per Microsoft Windows 2000 espone le proprietÓ ADSI Flag dell'oggetto ADODB.Connection . ╚ possibile impostare il flag ADS_FAST_BIND per questa proprietÓ impedire l'esecuzione di una ricerca objectClass di query ADO. La proprietÓ ADSI Flag non Ŕ presente in ADSI versione 2.5 per Microsoft Windows NT versione 4.0 o Microsoft Windows 9 x. Per una possibile soluzione, vedere il seguente articolo:

223049HOWTO: Query di Exchange 5.x Anonymously tramite ADSI

Riferimenti

Per ulteriori informazioni su ADSI, vedere i seguenti articoli della Microsoft Knowledge Base riportato di seguito:
233023HOWTO: Trova tutti i provider ADSI in un sistema
187529HOWTO: Utilizzo di ADO per oggetti tramite un provider LDAP ADSI
251189INFORMAZIONI: Individuazione uno schema del server LDAP memorizzato nella cache da ADSI
223049HOWTO: Query di Exchange 5.x Anonymously tramite ADSI

Per informazioni generali su ADSI, vedere il seguente sito Web:
http://msdn2.microsoft.com/library/aa772170.aspx

ProprietÓ

Identificativo articolo: 251195 - Ultima modifica: venerdý 28 settembre 2007 - Revisione: 1.3
Le informazioni in questo articolo si applicano a:
  • Microsoft Active Directory Service Interfaces 2.5
Chiavi:á
kbmt kbinfo kbmsg KB251195 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 251195
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.
Dichiarazione di non responsabilitÓ per articoli della Microsoft Knowledge Base su prodotti non pi¨ supportati
Questo articolo Ŕ stato scritto sui prodotti per cui Microsoft non offre pi¨ supporto. L?articolo, quindi, viene offerto ?cosý come Ŕ? e non verrÓ pi¨ aggiornato.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com