嘗試使用 Active Directory 進行身份驗證的 openldap“無效憑據”

我們有一個 AD 伺服器正在執行，它適用於我們域中的每台 Windows 機器，用於跨許多服務進行身份驗證。

我們最近將一台 RHEL6 機器上線，並嘗試配置一個特定的應用程序，該應用程序應該使用同一目錄進行身份驗證。為此，我們安裝了 openldap-clients 和所有這些軟體包。

但是，當我們使用此字元串時，ldapsearch 返回“無效憑據”：

ldapsearch -H ldaps://<ldap-server> -x -W -D 'cn=admin,ou=People,dc=example,dc=com' -b 'dc=example,dc=com'
> ldap_bind: Invalid credentials (49) additional info: 80090308: LdapErr: DSID-0C09042F, comment: AcceptSecurityContext error, data 52e, v2580

據此，openldap 需要通過 SSL 與 AD 通信，所以我們正在這樣做。

我們有許多通過 AD 連接的 Windows 應用程序，因此我們相當肯定 AD 至少配置正確。

但是，無論我們嘗試綁定什麼使用者，使用什麼密碼，我們的憑據都是無效的。

有人見過這個嗎？我們缺少一些簡單的東西嗎？據我所知，這應該有效。有沒有可能 AD 沒有完全配置為 openldap 通信？

當我執行類似的東西時：

ldapsearch -LLL -x -H ldaps://<ldap host> -D CN=admin,OU=People,DC=example,DC=com -b DC=example,DC=com

我返回了錯誤：

>Additional information: 000004DC: LdapErr: DSID-0C0907C2, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, v2580

調試模式顯示我成功連接到AD，但我似乎無法綁定。有沒有人經歷過這個？

首先驗證binddn-D 之後的 與cn您嘗試綁定的使用者的完全匹配。如果是這樣並且您仍然無法綁定，您可以嘗試將其切換為 UPN 格式：username@example.com

ldapsearch -H ldaps://<ldap-server> -x -W -D 'admin@example.com' -b 'dc=example,dc=com'

引用自：https://serverfault.com/questions/939225