FreeIPA和AD密碼同步

我正在嘗試將 FreeIPA 與 Active Directory 集成，以便按照本指南為 Windows 和 Linux 使用者提供單點登錄。

我已成功創建“winsync”協議並將 AD 數據載入到 FreeIPA，但我正在努力從指南的這一部分設置 Windows 密碼同步。

當使用者更改密碼時，我在域控制器上的 389 PassSync 外掛日誌中看到以下內容：

06/17/16 08:47:32: Backoff time expired.  Attempting sync
06/17/16 08:47:32: Password list has 1 entries
06/17/16 08:47:32: Attempting to sync password for some.user
06/17/16 08:47:32: Searching for (ntuserdomainid=some.user)
06/17/16 08:47:32: Ldap error in QueryUsername
34: Invalid DN syntax
06/17/16 08:47:32: Deferring password change for some.user
06/17/16 08:47:32: Backing off for 1024000ms

當我從 CLI 執行查詢時，使用 PassSync 外掛使用的相同使用者和密碼，它是成功的：

$ ldapsearch -x -h ldaps://localhost -p 636 -D 'uid=passsync,cn=sysaccounts,cn=etc,dc=dc,my=domain,dc=com' -w 'password'  -b 'cn=users,cn=accounts,dc=my,dc=domain,dc=com' '(ntuserdomainid=some.user)'

誰能指出我做錯了什麼？

我想通了，我會發布我的發現來幫助其他有類似問題的人。

在 IPA 伺服器上，我找到了 389-ds 日誌：/var/log/dirsrv/slapd-HOSTNAME/access

查看日誌中的條目，我注意到 DN 中有一些額外的字元對應於“搜尋庫”。我讓 Windows 管理員將他的 RDP 會話共享給 DC，並查看了HKEY_LOCAL_MACHINE\SOFTWARE\PasswordSync.

在這裡，我注意到“搜尋庫”鍵中的相同字元。我認為這些額外的字元是從文件中意外複製粘貼的。

刪除它們並重新啟動服務已解決問題。

引用自：https://serverfault.com/questions/784990