4.14. 关于 LDAP 过滤器和属性

4.14.1. 搜索用户和组
4.14.2. 为用户请求桌面
4.14.3. 解析组成员关系
4.14.4. LDAP 高速缓存

Oracle VDI 使用多种 LDAP 过滤器和属性列表来查找和解释用户目录中存储的数据。

本部分介绍 Oracle VDI 如何使用 LDAP 过滤器和属性在用户目录中执行每个任务所需的不同搜索。

有关如何编辑这些过滤器的详细信息,请参见第 C.1 节 “如何编辑 LDAP 过滤器和属性”

4.14.1. 搜索用户和组

可以使用管理工具(Oracle VDI Manager 或 CLI)搜索用户和组,以便将其分配给桌面或池。

搜索逻辑的工作方式如下所述:

  • 首先搜索用户:

    • 用于搜索用户的过滤器为:(&ldap.user.object.filter ldap.user.search.filter)

    • $SEARCH_STRING 占位符将替换为 *criteria*,其中 criteria 是在 Oracle VDI Manager 搜索字段中键入的字符串。如果 criteria 字符串已经包含通配符 "*",则 $SEARCH_STRING 占位符将仅替换为 criteria

  • 然后,按如下方式搜索组:

    • 用于搜索组的过滤器为:(&ldap.group.object.filter ldap.group.search.filter)

    • $SEARCH_STRING 占位符将替换为 *criteria*,其中 criteria 是在 Oracle VDI Manager 搜索字段中键入的字符串。如果 criteria 字符串已经包含通配符 "*",则 $SEARCH_STRING 占位符将仅替换为 criteria

如果将全局设置 ldap.search.wildcard 设置为已禁用,则 $SEARCH_STRING 占位符将替换为 criteria(两边不加通配符)。这会将返回的结果限制为严格匹配键入的字符串,但是对非常大的分布式用户目录(使用通配符的搜索花费很长时间才会返回)很有用。

默认情况下将添加通配符,因为启用了 ldap.search.wildcard 的默认值。

4.14.2. 为用户请求桌面

为用户请求桌面时,Oracle VDI 首先需要查找与用户 ID 匹配的用户 DN,然后再为该用户 DN 解析池和桌面分配。如果启用了客户机验证,则用户 ID 属性还将用于验证。

用于与用户 ID 匹配的属性在 ldap.userid.attributes 中进行定义。

4.14.3. 解析组成员关系

可以使用在 ldap.user.member.attributesldap.group.member.attributes 中定义的属性来解析组成员关系。

嵌套组深度限制为 3。

Oracle VDI 还可解析特定于 Active Directory 的主要组成员关系。用于解析主要组成员关系的属性在 ldap.group.short.attributesldap.user.member.attributes 中进行定义。

4.14.4. LDAP 高速缓存

为了改进性能并减少用户目录的负荷,会对 Oracle VDI 检索的用户和组条目进行高速缓存。LDAP 高速缓存中的条目在 10 分钟之后超时。

此时,不能更改 LDAP 高速缓存超时,也无法刷新高速缓存。