检索 AD 组失败-嵌套组级别超出限制

本文讨论如果嵌套组级别超出限制 , 则从活动目录中检索组失败。

在 useridd.log 中可以看到以下日志, 指出已超出嵌套组级别的限制:  

2017-07-14 00:06:07.109-0400 警告: pan_ldap_ctrl_query_single_included_group (pan_ldap_ctrl: 3491):嵌套组级别 (11) 超出了组 "cn=testdev,ou=groups,ou=dept,dc=d2-dept,dc=com"的限制 (10)

解决方法

嵌套组的默认设置为 10, 可由配置增加到 20, 请参阅下面的命令:

>> 配置
# 集组-映射<group-mapping name="">嵌套组级 20  </group-mapping> 

 例如：

# 设置组映射 "测试" 嵌套组级别20

如果使用了将嵌套组级别递增到20的变通办法, 建议对活动目录的配置进行复查, 以确保20的限制不被破坏, 这可能会导致对组的拉入进一步问题。

注意:由于这是配置命令, 因此不需要提交.