用于在 AD 中验证用户身份的性能最佳的通用 LDAP 查询是什么？

发布于 2024-12-01 18:40:41 字数 274 浏览 0 评论 0原文

我们使用 LDAP 来验证用户身份。 LDAP 管道的另一端是一个非常大的 Active Directory 实现。我们发现身份验证查询花费的时间太长（15 秒或更长时间）。

以下是我们正在做的事情的描述：

ldap://ldap.myco.com/DN?dc=myco,dc=com??sub?(sAMAccountName=John)

实现这一目标的最佳方法是什么？对于任何大型 AD 实施来说，这种方法都可以很好地工作？

谢谢！

原文

We're using LDAP to authenticate users. The other side of the LDAP pipe is a very large Active Directory implementation. We're finding that the authentication query is taking too long (15 seconds and longer).

Here's a representation of what we're doing:

ldap://ldap.myco.com/DN?dc=myco,dc=com??sub?(sAMAccountName=John)

What is the best way to accomplish this is a way that will work well for any giant AD implementation?

Thanks!

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

旧情勿念 2024-12-08 18:40:41

尽管您的搜索还包括计算机和组，但 sAMAccountName 已明确索引。您可以使用 (&(objectCategory=person)(objectClass=user)(samAccountName={0})) 进一步限定它。

更大的问题是您为什么要进行搜索？如果您只想通过 LDAP 绑定检查用户名和密码，请绑定到 LDAP://DC=myco,DC=com 并访问 myDirectoryEntry.NativeObject。如果它抛出异常，你就有问题了。

另外，什么是“ldap.myco.com”？那是负载均衡器吗？这是您的域名吗？您应该能够在这里进行无服务器绑定......

回复收藏 0 原文

っ左 2024-12-08 18:40:41

如果 sAMAccountName 已建立索引，则此查询的时间复杂度应为 O(1) 或 O(log(N))，具体取决于索引结构。如果花费了 15 秒，那么听起来像是 O(N)，这意味着它没有被索引。

回复收藏 0 原文

内心荒芜 2024-12-08 18:40:41

布莱恩·德斯蒙德（Brian Desmond）的回答很准确（我也因此投了赞成票）。您将从简单的绑定中获得最佳性能。

为了冗余（并分散负载），您应该有多个可供绑定的 DC。 Microsoft AD 客户端用于定位 DC 的算法（基于站点成员资格和 SRV RR 权重和首选项值）并不简单，但您可以通过获取要绑定的几个 DC 的地址（或名称）来进行近似。

回复收藏 0 原文

~没有更多了~

关于作者

笑红尘

暂无简介

0 文章

0 评论

733 人气

关注发私信

友情链接

文江博客

用于在 AD 中验证用户身份的性能最佳的通用 LDAP 查询是什么？

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

评论（3）

关于作者

相关话题

热门标签

推荐作者

胡图图

zt006

z祗昰~

冰葑

野の

天空

友情链接

用于在 AD 中验证用户身份的性能最佳的通用 LDAP 查询是什么？

如果你对这篇内容有疑问，欢迎到本站社区发帖提问 参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

评论（3）

关于作者

相关话题

热门标签

推荐作者

胡图图

zt006

z祗昰~

冰葑

野の

天空

友情链接

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。