我在 11g 数据库中有一个 PL/SQL 包,用于查找各种属性并处理组成员身份等。一个特别的函数是管道函数,它返回函数参数中指定的组的所有成员。它非常适合成员少于 1000 人的团体。在这种情况下,我收到此错误消息:
ORA-31202: DBMS_LDAP: LDAP client/server error: Sizelimit exceeded
据我所知,LDAP(尤其是我正在处理的 MS Active Directory)的查询结果集大小限制为 1000。如果 LDAP 搜索结果超过这么多条目,则查询会失败并且没有返回结果。我无法选择修改 AD 架构或类似的内容。我知道 LDAP 中有“分页”结果集的概念,但我在我审阅的 DBMS_LDAP 文档中没有看到提及该功能。
http://docs.oracle.com/cd/B10501_01/network.920/a96577/smplcode.htm
如果您能提供有关解决方案或解决方法的建议、指导或文档 URL,我将不胜感激。
如果“查询切片”是最好的方法,请注意,从对所有顶级 OU 的查询开始,并在搜索过滤器中将它们与逻辑 AND 一起使用可能适用于某些情况,但不能保证一个 OU 中不会有 1000 个或更多用户对象,并且它们也是目标安全组的成员。因此,它可能必须比 OU 限制更聪明一些。
最佳答案
在论坛中找到一些非官方的同行支持回复后,我相信截至 2015 年,DB 11g 附带的 DBMS_LDAP 软件包并未实现标准的“分页搜索结果控制”( https://www.rfc-editor.org/rfc/rfc2696 )。
我用来解决这个问题的(仍然有限的)方法是创建一个嵌套的 for 循环,遍历字母表中的每个字母,创建一个通用的名称过滤短语。将此与 LDAP 组成员身份可以通过多值属性memberof 或primaryGroupID 属性表示这一事实相结合,您就有了 52 个单独的过滤查询!它有效,虽然不是太快,但它有效。
DECLARE
l_retval PLS_INTEGER;
l_alphabet varchar2(26) := 'ABCDEFGHIJKLMNOPQRSTUVWXYZ';
l_slice_prefix varchar2(16);
l_slice_suffix varchar2(16);
l_filter dbms_ldap.string_collection;
l_slice_filter varchar2(1000);
l_primaryGroupToken varchar2(128);
BEGIN
l_primaryGroupToken := get_primaryGroupToken(p_group);
l_retval := get_ldap_session();
--LDAP idiosyncracy: primaryGroup is NOT listed in member of.
--So you really need two distinct queries and "union" them together.
l_filter(0) := '(&(objectCategory=person)(objectClass=user)(primaryGroupID='|| l_primaryGroupToken ||')(!(description=Built-in*)))';
-- lfilter(1) must be populated with output of get_group_dn...
l_filter(1) := '(&(objectCategory=person)(objectClass=user)(memberof='|| get_group_dn(p_group) ||'))';
--ORA-31202: DBMS_LDAP: LDAP client/server error: Sizelimit exceeded
--https://msdn.microsoft.com/en-us/library/ms180880%28v=vs.80%29.aspx
--So shame on MS for the small limit, and shame on Oracle
--for not implementing paging.
--Now we have to implement our own slicing/paging.
--In this case we'll just do first char of the CN
--against each letter of the alphabet. So 26 "non-uniform" pages.
<<filter_loop>>
for iq in l_filter.FIRST..l_filter.LAST LOOP
<<slice_loop>> --see above explanation for sizelimits, this is in lieu of real LDAP control paging.
FOR alphaindex in 1..26 LOOP
l_slice_prefix := '(&(CN='||substr(l_alphabet,alphaindex,1)||'*)';
l_slice_suffix := ')';
l_slice_filter := l_slice_prefix || l_filter(iq) || l_slice_suffix;
l_retval := dbms_ldap.search_s(ld => g_session,
base => g_ldap_auth_base,
scope => dbms_ldap.scope_subtree,
filter => l_slice_prefix || l_filter(iq) || l_slice_suffix,
attrs => l_attrs,
attronly => 0,
res => l_message);
if L_retval = DBMS_LDAP.SUCCESS then
-- ...
END IF;
END LOOP slice_loop;
END LOOP filter_loop;
END;
关于oracle - 如何使用 Oracle DBMS_LDAP 执行大型(大于 Sizelimit)LDAP 查询,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28510194/