如何使用Oracle DBMS_LDAP执行大型(大于Sizelimit)LDAP查询

我在11g数据库中有一个PL / SQL包,它可以查找各种属性并处理组成员资格等等.一个函数特别是一个流水线函数,它返回一个函数参数中指定的组的所有成员.它适用于成员少于1000人的团体.在这种情况下,我收到此错误消息：

ORA-31202: DBMS_LDAP: LDAP client/server error: Sizelimit exceeded

据我所知,LDAP(特别是MS Active Directory,我正在处理的内容)的查询结果集大小限制为1000.如果LDAP搜索结果超过这么多条目,则查询失败并且不返回任何结果.我没有选择修改AD架构或类似的东西.我知道LDAP中存在“分页”结果集的概念,但我没有在我审查的DBMS_LDAP文档中看到该功能的提及.

http://docs.oracle.com/cd/B10501_01/network.920/a96577/smplcode.htm

我非常感谢解决方案或解决方法的任何建议,指导或文档URL.

如果“查询切片”是最好的方法,那么请注意,从查询所有顶级OU开始,并在搜索过滤器中使用逻辑AND可能适用于某些情况,但不能保证不会在一个OU中是1000个或更多用户对象,并且也是目标安全组的成员.所以它可能必须比OU限制更聪明.

解决方法

我采用的(仍然有限的)方法是创建一个嵌套的for循环,逐步遍历字母表中的每个字母,创建一个通用的名称过滤短语.将此与LDAP组成员资格可以通过多值属性成员或primaryGroupID属性表达的事实相结合,您有52个单独的筛选查询！它的工作原理并不太快,但它确实有效.

DECLARE
      l_retval      PLS_INTEGER;
      l_alphabet    varchar2(26) := 'ABCDEFGHIJKLMNOPQRSTUVWXYZ';
      l_slice_prefix varchar2(16);
      l_slice_suffix varchar2(16);
      l_filter     dbms_ldap.string_collection;
      l_slice_filter varchar2(1000);
      l_primaryGroupToken varchar2(128);
   BEGIN     
      l_primaryGroupToken := get_primaryGroupToken(p_group);

      l_retval := get_ldap_session();

      --LDAP idiosyncracy: primaryGroup is NOT listed in member of. 
      --So you really need two distinct queries and "union" them together.     

      l_filter(0) := '(&(objectCategory=person)(objectClass=user)(primaryGroupID='|| l_primaryGroupToken ||')(!(description=Built-in*)))';
      -- lfilter(1) must be populated with output of get_group_dn...
      l_filter(1) := '(&(objectCategory=person)(objectClass=user)(memberof='|| get_group_dn(p_group) ||'))';

        --ORA-31202: DBMS_LDAP: LDAP client/server error: Sizelimit exceeded
        --https://msdn.microsoft.com/en-us/library/ms180880%28v=vs.80%29.aspx
        --So shame on MS for the small limit,and shame on Oracle 
        --for not implementing paging.
        --Now we have to implement our own slicing/paging. 
        --In this case we'll just do first char of the CN
        --against each letter of the alphabet. So 26 "non-uniform" pages.

      <<filter_loop>> 
      for iq in l_filter.FIRST..l_filter.LAST LOOP
          <<slice_loop>> --see above explanation for sizelimits,this is in lieu of real LDAP control paging.
          FOR alphaindex in 1..26 LOOP 
              l_slice_prefix := '(&(CN='||substr(l_alphabet,alphaindex,1)||'*)';
              l_slice_suffix := ')';
              l_slice_filter := l_slice_prefix || l_filter(iq) || l_slice_suffix;
              l_retval := dbms_ldap.search_s(ld       => g_session,base     => g_ldap_auth_base,scope    => dbms_ldap.scope_subtree,filter   => l_slice_prefix || l_filter(iq) || l_slice_suffix,attrs    => l_attrs,attronly => 0,res      => l_message);
              if L_retval = DBMS_LDAP.SUCCESS then

              -- ...

              END IF;
           END LOOP slice_loop;
        END LOOP filter_loop;
   END;

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!