如何使用Oracle DBMS_LDAP执行大型(大于Sizelimit)LDAP查询
|
我在11g数据库中有一个PL / SQL包,它可以查找各种属性并处理组成员资格等等.一个函数特别是一个流水线函数,它返回一个函数参数中指定的组的所有成员.它适用于成员少于1000人的团体.在这种情况下,我收到此错误消息:
据我所知,LDAP(特别是MS Active Directory,我正在处理的内容)的查询结果集大小限制为1000.如果LDAP搜索结果超过这么多条目,则查询失败并且不返回任何结果.我没有选择修改AD架构或类似的东西.我知道LDAP中存在“分页”结果集的概念,但我没有在我审查的DBMS_LDAP文档中看到该功能的提及. http://docs.oracle.com/cd/B10501_01/network.920/a96577/smplcode.htm 我非常感谢解决方案或解决方法的任何建议,指导或文档URL. 如果“查询切片”是最好的方法,那么请注意,从查询所有顶级OU开始,并在搜索过滤器中使用逻辑AND可能适用于某些情况,但不能保证不会在一个OU中是1000个或更多用户对象,并且也是目标安全组的成员.所以它可能必须比OU限制更聪明. 解决方法在论坛中找到一些非正式的对等支持响应之后,我相信到2015年,DB 11g附带的DBMS_LDAP包没有实现标准的“分页搜索结果控制”( https://tools.ietf.org/html/rfc2696).我采用的(仍然有限的)方法是创建一个嵌套的for循环,逐步遍历字母表中的每个字母,创建一个通用的名称过滤短语.将此与LDAP组成员资格可以通过多值属性成员或primaryGroupID属性表达的事实相结合,您有52个单独的筛选查询!它的工作原理并不太快,但它确实有效. DECLARE
l_retval PLS_INTEGER;
l_alphabet varchar2(26) := 'ABCDEFGHIJKLMNOPQRSTUVWXYZ';
l_slice_prefix varchar2(16);
l_slice_suffix varchar2(16);
l_filter dbms_ldap.string_collection;
l_slice_filter varchar2(1000);
l_primaryGroupToken varchar2(128);
BEGIN
l_primaryGroupToken := get_primaryGroupToken(p_group);
l_retval := get_ldap_session();
--LDAP idiosyncracy: primaryGroup is NOT listed in member of.
--So you really need two distinct queries and "union" them together.
l_filter(0) := '(&(objectCategory=person)(objectClass=user)(primaryGroupID='|| l_primaryGroupToken ||')(!(description=Built-in*)))';
-- lfilter(1) must be populated with output of get_group_dn...
l_filter(1) := '(&(objectCategory=person)(objectClass=user)(memberof='|| get_group_dn(p_group) ||'))';
--ORA-31202: DBMS_LDAP: LDAP client/server error: Sizelimit exceeded
--https://msdn.microsoft.com/en-us/library/ms180880%28v=vs.80%29.aspx
--So shame on MS for the small limit,and shame on Oracle
--for not implementing paging.
--Now we have to implement our own slicing/paging.
--In this case we'll just do first char of the CN
--against each letter of the alphabet. So 26 "non-uniform" pages.
<<filter_loop>>
for iq in l_filter.FIRST..l_filter.LAST LOOP
<<slice_loop>> --see above explanation for sizelimits,this is in lieu of real LDAP control paging.
FOR alphaindex in 1..26 LOOP
l_slice_prefix := '(&(CN='||substr(l_alphabet,alphaindex,1)||'*)';
l_slice_suffix := ')';
l_slice_filter := l_slice_prefix || l_filter(iq) || l_slice_suffix;
l_retval := dbms_ldap.search_s(ld => g_session,base => g_ldap_auth_base,scope => dbms_ldap.scope_subtree,filter => l_slice_prefix || l_filter(iq) || l_slice_suffix,attrs => l_attrs,attronly => 0,res => l_message);
if L_retval = DBMS_LDAP.SUCCESS then
-- ...
END IF;
END LOOP slice_loop;
END LOOP filter_loop;
END;
(编辑:晋中站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
