Oracleのアペックス5 LDAP検索では、Oracle Apexでグローバルカタログ

Question

不利に働いていない、私は非常に特定の識別名を追加した場合、LDAP経由で認証し、正確な識別名を使用するオプションを選択することができます。これは動作します

CN=%LDAP_USER%,OU=Office,OU=Users,OU=UKAPD,DC=rd,DC=mycompany,DC=net 

を。

ただし、OUとドメインを検索する必要があるため、グローバルカタログに対してワイルドカード検索を使用する必要があります。私はあることを私のDNを減らし、その後、正確な識別名を使用するため、「いいえ」を選択した場合注、上記の作業LDAP DNだからポート3268

にグローバルカタログに対してもです：

DC=mycompany,DC=net 

、その後、

CN=%LDAP_USER% 

LDAPでバインドに失敗しました。

•Authentication failed ORA-31202: DBMS_LDAP: LDAP client/server error: Operations error. 000004DC: LdapErr: DSID-0C090749, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, v2580

Oracle ApexのすべてのドメインおよびOUでグローバル検索を実行するにはどうすればよいですか。この件に関しては、ほとんどドキュメントがありません。非常に特定のDN文字列を使用しているときに、正常に認証するために、私はDBA経由でOracleに必要なACLを作成しました。

Answer 1

EDIT：「通常の」LDAPで公開されていないと誤って思っていたグローバルカタログを特に指摘したことがあります。

このMSテクニカルの記事を既に読んでいるとします。https://technet.microsoft.com/en-us/library/cc978012.aspx しかし、それについて言及していないので、「グローバルカタログ検索」のセクションで説明したように特別なNULL値を使用することをお勧めしますその記事の「ベース」

もう一つ、面白い、多分過多の回避策：以下 https://serverfault.com/a/107368/71956

が有効もはや多分、私のオリジナルの答えです。

I do not believe you can do that. This is not a limitation of ApEx, but instead it is a "natural" artifact of the way LDAP works. The LDAP directory (which usually more or less corresponds to a "network domain") is stored as an independent entity, stored in its own db, with its own service processes (probably its own server host). You must have that specific "base dn" to establish the domain context for the creation of any LDAP session.

I would suspect that fancy things like "domain forests" and multi-domain trusts are really handled on a back end as a loop through that list of domains with separate LDAP queries on separate LDAP sessions, each with the appropriate base dn context. I.e., there really is no such thing as a "global search" in LDAP, per se. But some nice software systems simulate it by maintaining lists of valid/trusted domains/directories and every time you ask for a global search, it just performs the search N times, once for each domain/directory.

One way to (maybe) get around this: build all custom auth schemes, using PL/SQL calls to DBMS_LDAP and maintain (or maybe, possibly query) a list of valid domains to loop through on your own (just as all those other pleasant, convenient client tools have been doing for you all along).