Linux
FreeIPA和AD密碼同步
我正在嘗試將 FreeIPA 與 Active Directory 集成,以便按照本指南為 Windows 和 Linux 使用者提供單點登錄。
我已成功創建“winsync”協議並將 AD 數據載入到 FreeIPA,但我正在努力從指南的這一部分設置 Windows 密碼同步。
當使用者更改密碼時,我在域控制器上的 389 PassSync 外掛日誌中看到以下內容:
06/17/16 08:47:32: Backoff time expired. Attempting sync 06/17/16 08:47:32: Password list has 1 entries 06/17/16 08:47:32: Attempting to sync password for some.user 06/17/16 08:47:32: Searching for (ntuserdomainid=some.user) 06/17/16 08:47:32: Ldap error in QueryUsername 34: Invalid DN syntax 06/17/16 08:47:32: Deferring password change for some.user 06/17/16 08:47:32: Backing off for 1024000ms
當我從 CLI 執行查詢時,使用 PassSync 外掛使用的相同使用者和密碼,它是成功的:
$ ldapsearch -x -h ldaps://localhost -p 636 -D 'uid=passsync,cn=sysaccounts,cn=etc,dc=dc,my=domain,dc=com' -w 'password' -b 'cn=users,cn=accounts,dc=my,dc=domain,dc=com' '(ntuserdomainid=some.user)'
誰能指出我做錯了什麼?
我想通了,我會發布我的發現來幫助其他有類似問題的人。
在 IPA 伺服器上,我找到了 389-ds 日誌:
/var/log/dirsrv/slapd-HOSTNAME/access
查看日誌中的條目,我注意到 DN 中有一些額外的字元對應於“搜尋庫”。我讓 Windows 管理員將他的 RDP 會話共享給 DC,並查看了
HKEY_LOCAL_MACHINE\SOFTWARE\PasswordSync
.在這裡,我注意到“搜尋庫”鍵中的相同字元。我認為這些額外的字元是從文件中意外複製粘貼的。
刪除它們並重新啟動服務已解決問題。