search cancel

クエリの長​​さの制限により、LDAP 属性のルックアップが失敗する

book

Article ID: 256904

calendar_today

Updated On:

Products

Data Loss Prevention

Issue/Introduction

LDAP カスタム属性ルックアップを構成しましたが、ルックアップの実行時に属性が取り込まれません。

Resolution

ユーザーがメンバーであるすべてのグループをリストする「memberOf」Active Directory 属性など、複数の値の長いリストを持つ特定の属性を取得しようとすると、このエラーが表示されることがあります。

Tomcat エラー ログ ( localhost.[date].log ) には、次のエラーが含まれています。

SEVERE [com.vontu.model.data.validate.VarcharValidator] The parameter is too long.  Length cannot exceed 2000 characters.

単一の LDAP 属性のクエリに対する応答は、最大 2000 文字に制限されています。応答がこの制限を超えると、ルックアップは失敗します。

考えられる回避策の 1 つは、別の LDAP 属性を使用することです。
クエリに最適な属性は、DLP 内でカスタム属性をどのように使用する必要があるかによって異なります。
たとえば、組織内でのユーザーの役割を決定する場合は、グループ メンバーシップではなく、「部門」属性を使用できます。
Active Directory には、各ユーザーの「プライマリ グループ」属性もあり、これはいくつかの目的に役立つ場合があります。
特定の LDAP 実装の詳細については、Active Directory または LDAP 管理者に問い合わせてください。