Expressions du filtre de recherche LDAP

Les règles relatives aux groupes d'utilisateurs à base de règles sont basées sur la syntaxe du filtre de recherche LDAP.

Pour plus d'informations sur la syntaxe du filtre de recherche LDAP, voir RFC2254 - Représentation sous forme de chaîne des filtres de recherche LDAP dans la section des liens connexes.

Vous pouvez utiliser ce sous-ensemble de la syntaxe du filtre de recherche LDAP :

  • L'opérateur AND représenté par une perluète (&).
  • L'opérateur OR représenté par une barre oblique (|).
  • L'opérateur NOT représenté par un point d'exclamation (!).
  • La comparaison d'égalité représentée par un signe égal (=) pour les expressions de nom et de valeur.
  • Les caractères génériques représentés par un astérisque (*) au début ou à la fin des valeurs dans les expressions de nom et de valeur.
Remarque : Les attributs ne doivent pas commencer par l'un des symboles d'opérateur AND, OR ou NOT (&, | ou !) et ne doivent pas contenir un signe égal de comparaison (=) ni des parenthèses.

Par exemple:

(uid=testuser)
Correspond à tous les utilisateurs pour lesquels la valeur testuser est affectée à l'attribut uid.
(uid=test*)
Correspond à tous les utilisateurs pour lesquels la valeur uid commence par test.
(!(uid=test*))
Correspond à tous les utilisateurs pour lesquels les valeurs de l'attribut uid ne commencent pas par test.
(&(department=1234)(city=Paris))
Correspond à tous les utilisateurs pour lesquels la valeur 1234 est affectée à l'attribut department et pour lesquels la valeur Paris est affectée à l'attribut city.
(|(department=1234)(department=56*))
Correspond à tous les utilisateurs pour lesquels la valeur 1234 ou une valeur commençant par 56 est affectée à l'attribut department.
(&(department=12*)(!(department=123*)))
Correspond à tous les utilisateurs pour lesquels une valeur commençant par 12 et non par 123 est affectée à l'attribut department.

Validation de la syntaxe

Lorsque vous définissez ou modifiez un groupe d'utilisateurs à base de règles, l'adaptateur des groupes d'utilisateurs à base de règles valide la syntaxe de l'expression du filtre de recherche LDAP. Par exemple:

Règle non valide spécifiée :
Si vous indiquez une règle non valide, les groupes d'utilisateurs à base de règles renvoient le message d'erreur approprié. Cependant, ils ne vérifient pas si les noms d'attribut utilisés existent dans la configuration utilisateur. Vous pouvez vérifier la configuration à l'aide du code qui appelle le filtre de recherche.
Attribut non valide spécifié :
Si un nom d'attribut non valide est compris dans une règle, la définition de l'appartenance au groupe pour les groupes d'utilisateurs à base de règles ne fonctionne pas et une erreur est consignée. Il se peut que les règles existantes ne soient plus valides si la configuration d'attribut est modifiée dans le système, par exemple, lorsqu'un attribut est supprimé ou renommé.