Jabber for Windows が変更された基本フィルタを使用して LDAP を照会できない
概要
このドキュメントでは、Cisco Jabber for Windows 用のカスタム基本フィルタを使用した Lightweight Directory Access Protocol(LDAP)検索の問題の修正方法について説明します。
前提条件
要件
Cisco Jabber for Windows に関する基本的な知識があることが推奨されます。
使用するコンポーネント
このドキュメントの情報は Cisco Jabber for Windows に基づいています。
本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。 稼働中のネットワークで作業を行う場合、コマンドの影響について十分に理解したうえで作業してください。
問題
jabber-config.xml ファイルで指定される BaseFilter に employeeID などの属性が追加されたときに、Active Directory(AD)でユーザにこの属性が設定されていても、結果がありません。 この属性なしで基本(ベース)フィルタが作成されると、想定どおりに機能します。
ldp.exe を使って LDAP をクエリーするときには、この属性を含むフィルタが想定どおりに機能します。
例
このコードは機能します。
<BaseFilter>(&(objectclass=user)(objectcategory=person)
(!UserAccountControl:1.2.840.113556.1.4.803:=2)</BaseFilter>
(employeeid=*) を追加すると失敗します。
<BaseFilter>(&(employeeid=*)(objectclass=user)
(objectcategory=person)(!UserAccountControl:1.2.840.113556.1.4.803:=2)</BaseFilter>
解決策
Jabber for Windows は、ドメイン コントローラ(TCP ポート 389 またはセキュア 636)あるいはグローバル カタログ(TCP ポート 3268 またはセキュア 3269)に接続できます。 これは jabber-config.xml ファイル内の ConnectionType パラメータによって制御されます。0 はグローバル カタログ(デフォルト値)、1 はドメイン コントローラです。
グローバル カタログに接続する場合、LDAP フィルタに存在するすべての属性がグローバル カタログに伝搬されるようにする必要があります。 LDAP フィルタのいずれかの属性がグローバル カタログに存在しない場合、このフィルタを使って検索を要求しても結果が返されません。 デフォルトでは、属性のサブセットだけがグローバル カタログに伝搬されます。 デフォルトで伝搬されない属性の 1 つは employeeID です。
解決策 1: ドメイン コントローラ
Jabber でグローバル カタログの代わりにドメイン コントローラを参照します(jabber-config.xml ファイルで、ディレクトリ パラメータ ConnectionType を 0 ではなく 1 に設定します)。 ただしこれは推奨されません。理由:グローバル カタログに比べてドメイン コントローラのパフォーマンスが遅いため、結果として Jabber クライアントのパフォーマンスが低下します。
解決策 2: グローバル カタログ
必要な属性(employeeID)を、AD 環境のグローバル カタログ サーバに複製します。 AD 管理者に、これが更新されることを確認します。 この変更を行うには、次のようにスキーマ管理者権限を使ってドメイン コントローラに移動します。
- [MMC] > [File] > [Add/remove schema] > [Add Active Directory Schema] を選択します。
- 左ペインで、[Attributes] フォルダを開きます。
- 属性(employeeID)を右クリックします。
- (employeeID の)[Properties] ウィンドウで、[Replicatethis attribute to the Global Catalog] チェックボックスをオンにします。
フィードバック