web-dev-qa-db-ja.com

ActiveDirectoryで認証しようとしているopenldap「無効な資格情報」

ADサーバーが実行されており、ドメイン上のすべてのWindowsマシンで機能し、多くのサービスにわたる認証を行います。

最近、RHEL6マシンをオンラインにして、同じディレクトリを使用して認証する必要がある特定のアプリケーションを構成しようとしています。これを行うために、openldap-clientsとそれらすべてのパッケージをインストールしました。

ただし、次の文字列を使用すると、ldapsearchは「無効な資格情報」を返します。

ldapsearch -H ldaps://<ldap-server> -x -W -D 'cn=admin,ou=People,dc=example,dc=com' -b 'dc=example,dc=com'
> ldap_bind: Invalid credentials (49) additional info: 80090308: LdapErr: DSID-0C09042F, comment: AcceptSecurityContext error, data 52e, v2580

this によると、openldapはSSLを介してADと通信する必要があるため、これを実行しています。

ADを介して接続する多くのWindowsアプリケーションがあるため、ADが少なくともそのために正しく構成されていることはほぼ確実です。

ただし、バインドしようとしているユーザーとパスワードに関係なく、資格情報は無効です。

誰かこれを見たことがありますか?私たちが見逃している単純なものはありますか?私の知る限り、これはうまくいくはずです。 ADがopenldap通信用に完全に構​​成されていない可能性はありますか?

私が次のようなものを実行すると:

ldapsearch -LLL -x -H ldaps://<ldap Host> -D CN=admin,OU=People,DC=example,DC=com -b DC=example,DC=com

エラーが返されました:

>Additional information: 000004DC: LdapErr: DSID-0C0907C2, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, v2580

デバッグモードは、ADへの接続に成功したことを示していますが、バインドできないようです。誰かがこれを経験しましたか?

1
Djones4822

まず、-Dの後のbinddnが、バインドしようとしているユーザーのcn正確にとして一致することを確認します。それでもバインドできない場合は、UPN形式に切り替えてみてください:[email protected]

ldapsearch -H ldaps://<ldap-server> -x -W -D '[email protected]' -b 'dc=example,dc=com'
1
Justin Cervero