Linux
將 PAM/Linux 與 Active Directory 集成時出錯
我正在嘗試將 Linux 伺服器添加到由 AD 控制的網路。目的是伺服器的使用者將能夠針對 AD 域進行身份驗證。我有 Kerberos 工作,但 NSS / PAM 更有問題。我正在嘗試使用如下所示的簡單命令進行調試,請查看錯誤。誰能幫我調試?
root@antonyg04:~# ldapsearch -H ldap://raadc04.corp.MUNGED.com/ -x -D "cn=MUNGED,ou=Users,dc=corp,dc=MUNGED,dc=com" -W uid=MUNGED Enter LDAP Password: ldap_bind: Invalid credentials (49) additional info: 80090308: LdapErr: DSID-0C090334, comment: AcceptSecurityContext error, data 525, vece
我不得不解釋一些細節,但我可以告訴你 cn=MUNGED 是我登錄 AD 域的使用者名,而我輸入的密碼是該域的密碼。我不知道為什麼它說“無效的憑據”,其餘的錯誤是如此神秘,我不知道。
我的方法有什麼缺陷嗎?我的 DN 明顯錯了嗎?如何確認正確的 DN?網上有一個工具,但我找不到。
注意我無權訪問 AD 伺服器進行管理或配置。
我在 IRC 上得到了一些很好的幫助,我現在可以綁定:
ldapsearch -H ldap://raadc04.corp.MUNGED.com/ -x -D USERNAME_MUNGED@DOMAIN_MUNGED.com -W sAMAccountName=MUNGED
所以我更改了 -D 參數,並將查找從 uid 更改為 sAMAccountName。
我已經在這裡記錄了這個過程,這是不久前的事了,但我有一些積極的 f/b,這在最近的 Fedora 上工作得很好。
您的問題是您使用 ldap 工具的使用者名和密碼需要是 AD 的綁定使用者,並且您的憑據不足。
但是,我懷疑您需要的關鍵是能夠獲取密鑰和綁定,您必須擁有一個管理員帳戶。即你需要一個朋友在管理員。
有一些更簡單的 ldap 身份驗證模型,但您的 AD 必須同意與它們交談。