Linux

FreeIPA和AD密碼同步

  • June 12, 2017

我正在嘗試將 FreeIPA 與 Active Directory 集成,以便按照本指南為 Windows 和 Linux 使用者提供單點登錄。

我已成功創建“winsync”協議並將 AD 數據載入到 FreeIPA,但我正在努力從指南的這一部分設置 Windows 密碼同步。

當使用者更改密碼時,我在域控制器上的 389 PassSync 外掛日誌中看到以下內容:

06/17/16 08:47:32: Backoff time expired.  Attempting sync
06/17/16 08:47:32: Password list has 1 entries
06/17/16 08:47:32: Attempting to sync password for some.user
06/17/16 08:47:32: Searching for (ntuserdomainid=some.user)
06/17/16 08:47:32: Ldap error in QueryUsername
34: Invalid DN syntax
06/17/16 08:47:32: Deferring password change for some.user
06/17/16 08:47:32: Backing off for 1024000ms

當我從 CLI 執行查詢時,使用 PassSync 外掛使用的相同使用者和密碼,它是成功的:

$ ldapsearch -x -h ldaps://localhost -p 636 -D 'uid=passsync,cn=sysaccounts,cn=etc,dc=dc,my=domain,dc=com' -w 'password'  -b 'cn=users,cn=accounts,dc=my,dc=domain,dc=com' '(ntuserdomainid=some.user)'

誰能指出我做錯了什麼?

我想通了,我會發布我的發現來幫助其他有類似問題的人。

在 IPA 伺服器上,我找到了 389-ds 日誌:/var/log/dirsrv/slapd-HOSTNAME/access

查看日誌中的條目,我注意到 DN 中有一些額外的字元對應於“搜尋庫”。我讓 Windows 管理員將他的 RDP 會話共享給 DC,並查看了HKEY_LOCAL_MACHINE\SOFTWARE\PasswordSync.

在這裡,我注意到“搜尋庫”鍵中的相同字元。我認為這些額外的字元是從文件中意外複製粘貼的。

刪除它們並重新啟動服務已解決問題。

引用自:https://serverfault.com/questions/784990