Фильтр поиска LDAP для вложенных групп

Группы не являются чем-то определенным в стандарте LDAP. Что касается LDAP, групповые записи - это просто записи LDAP - не более того. Реализация поддержки групп, включая способ обработки, запроса, проверки и т. Д. Структур данных, таких как вложенные и динамические группы, полностью зависит от поставщика программного обеспечения каталога. Например, программное обеспечение IBM Security Directory Server (SDS) поддерживает вложенные и динамические группы через собственные проприетарные объектные классы и атрибуты, которые специально распознаются программным обеспечением, и обход (для вложенных групп) и расширение (для динамических групп) для проверки членства или для получения структуры группы автоматически делаются для клиента LDAP. Например, SDS предоставляет операционные атрибуты, такие как ibm-allgroups а также ibm-allmembers чтобы помочь клиентам LDAP извлекать информацию о группах и членстве во вложенных и динамических группах за один поиск. Другие поставщики каталогов решают ту же проблему по-разному. Поэтому ваше решение будет зависеть от используемого вами программного обеспечения LDAP. Вы можете спроектировать свое приложение так, чтобы оно поддерживало программное обеспечение нескольких серверов каталогов, но это зависит от того, насколько изощренным вы хотите получить поддержку группы в своем приложении.