Active-Directory

嘗試使用 Active Directory 進行身份驗證的 openldap“無效憑據”

  • November 9, 2018

我們有一個 AD 伺服器正在執行,它適用於我們域中的每台 Windows 機器,用於跨許多服務進行身份驗證。

我們最近將一台 RHEL6 機器上線,並嘗試配置一個特定的應用程序,該應用程序應該使用同一目錄進行身份驗證。為此,我們安裝了 openldap-clients 和所有這些軟體包。

但是,當我們使用此字元串時,ldapsearch 返回“無效憑據”:

ldapsearch -H ldaps://<ldap-server> -x -W -D 'cn=admin,ou=People,dc=example,dc=com' -b 'dc=example,dc=com'
> ldap_bind: Invalid credentials (49) additional info: 80090308: LdapErr: DSID-0C09042F, comment: AcceptSecurityContext error, data 52e, v2580

據此,openldap 需要通過 SSL 與 AD 通信,所以我們正在這樣做

我們有許多通過 AD 連接的 Windows 應用程序,因此我們相當肯定 AD 至少配置正確。

但是,無論我們嘗試綁定什麼使用者,使用什麼密碼,我們的憑據都是無效的。

有人見過這個嗎?我們缺少一些簡單的東西嗎?據我所知,這應該有效。有沒有可能 AD 沒有完全配置為 openldap 通信?

當我執行類似的東西時:

ldapsearch -LLL -x -H ldaps://<ldap host> -D CN=admin,OU=People,DC=example,DC=com -b DC=example,DC=com

我返回了錯誤:

>Additional information: 000004DC: LdapErr: DSID-0C0907C2, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, v2580

調試模式顯示我成功連接到AD,但我似乎無法綁定。有沒有人經歷過這個?

首先驗證binddn-D 之後的 與cn您嘗試綁定的使用者的完全匹配。如果是這樣並且您仍然無法綁定,您可以嘗試將其切換為 UPN 格式:username@example.com

ldapsearch -H ldaps://<ldap-server> -x -W -D 'admin@example.com' -b 'dc=example,dc=com'

引用自:https://serverfault.com/questions/939225