3.13. A propos des attributs et des filtres LDAP

3.13.1. Recherche d'utilisateurs et de groupes
3.13.2. Demande de bureau pour un utilisateur
3.13.3. Résolution de l'appartenance à un groupe
3.13.4. Cache LDAP

Oracle VDI utilise divers filtres et listes d'attributs LDAP pour rechercher et interpréter les données stockées dans un répertoire utilisateur.

Cette section explique comment Oracle VDI utilise les filtres LDAP et les attributs pour effectuer les différentes recherches dans le répertoire utilisateur nécessaire à chaque tâche.

Reportez-vous à la Section C.1, « Modification d'attributs et de filtres LDAP » pour en savoir plus sur la modification de ces filtres.

3.13.1. Recherche d'utilisateurs et de groupes

Vous pouvez utiliser les outils d'administration (Oracle VDI Manager ou la ligne de commande) pour rechercher des utilisateurs et des groupes afin de leur affecter des bureaux ou des pools.

La logique de la recherche est la suivante :

  • Les utilisateurs sont recherchés en premier :

    • Le filtre utilisé pour rechercher des utilisateurs est : (&ldap.user.object.filter ldap.user.search.filter).

    • Le paramètre substituable $SEARCH_STRING est remplacé par *criteria*, le terme criteria correspondant à la chaîne saisie dans le champ de recherche d'Oracle VDI Manager. Si cette chaîne contient déjà un caractère générique "*", le paramètre substituable $SEARCH_STRING est simplement remplacé par criteria.

  • Les groupes sont ensuite recherchés comme suit :

    • Le filtre utilisé pour rechercher des groupes est : (&ldap.group.object.filter ldap.group.search.filter).

    • Le paramètre substituable $SEARCH_STRING est remplacé par *criteria*, le terme criteria correspondant à la chaîne saisie dans le champ de recherche d'Oracle VDI Manager. Si cette chaîne contient déjà un caractère générique "*", le paramètre substituable $SEARCH_STRING est simplement remplacé par criteria.

Si le paramètre global ldap.search.wildcard est désactivé, le caractère substituable $SEARCH_STRING est remplacé par criteria (sans être entouré de caractères génériques). Ceci permet de limiter les résultats renvoyés correspondant exactement à la chaîne tapée, ce qui est utile pour les répertoires utilisateur distribués et très volumineux pour lesquels la recherche à l'aide de caractères génériques est trop longue.

Les caractères génériques sont ajoutés par défaut lorsque la valeur par défaut de ldap.search.wildcard est activée.

3.13.2. Demande de bureau pour un utilisateur

Lors de la demande de bureau pour un utilisateur, Oracle VDI doit d'abord rechercher le DN utilisateur correspondant à l'ID utilisateur avant de résoudre les affectations de pool/bureau pour le DN utilisateur. Si l'authentification client est activée, l'attribut de l'ID utilisateur est également utilisé pour l'authentification.

Les attributs utilisés pour la mise en correspondance de l'ID utilisateur sont définis dans ldap.userid.attributes.

3.13.3. Résolution de l'appartenance à un groupe

L'appartenance à un groupe est résolue à l'aide des attributs définis dans ldap.user.member.attributes et ldap.group.member.attributes.

La profondeur du groupe imbriqué est limitée à 3.

Oracle VDI résout également l'appartenance au groupe principal, qui est spécifique à Active Directory. Les attributs utilisés pour la résolution de l'appartenance au groupe principal sont définis dans ldap.group.short.attributes et ldap.user.member.attributes.

3.13.4. Cache LDAP

Pour améliorer les performances et réduire le volume des données stockées dans le répertoire utilisateur, les entrées d'utilisateur et de groupe extraites par Oracle VDI sont mises en cache. Les entrées stockées dans le cache LDAP expirent après un délai de 10 minutes.

Pour l'instant, il est impossible de modifier le délai d'expiration du cache LADP ou de vider le cache.