web-dev-qa-db-ja.com

FreeIPAとADパスワードの同期

FreeIPAをActiveDirectoryと統合して、 このガイド に従ってWindowsおよびLinuxユーザーにシングルサインオンを提供しようとしています。

'winsync'契約を正常に作成し、ADデータをFreeIPAにロードしましたが、ガイドの this 部分からWindowsパスワード同期をセットアップするのに苦労しています。

ユーザーがパスワードを変更すると、ドメインコントローラーの389PassSyncプラグインログに次のように表示されます。

06/17/16 08:47:32: Backoff time expired.  Attempting sync
06/17/16 08:47:32: Password list has 1 entries
06/17/16 08:47:32: Attempting to sync password for some.user
06/17/16 08:47:32: Searching for (ntuserdomainid=some.user)
06/17/16 08:47:32: Ldap error in QueryUsername
34: Invalid DN syntax
06/17/16 08:47:32: Deferring password change for some.user
06/17/16 08:47:32: Backing off for 1024000ms

PassSyncプラグインで使用されているのと同じユーザーとパスワードを使用してCLIからクエリを実行すると、成功します。

$ ldapsearch -x -h ldaps://localhost -p 636 -D 'uid=passsync,cn=sysaccounts,cn=etc,dc=dc,my=domain,dc=com' -w 'password'  -b 'cn=users,cn=accounts,dc=my,dc=domain,dc=com' '(ntuserdomainid=some.user)'

誰かが私が間違っていることを指摘できますか?

2
KingBob

私はこれを理解しました。同様の問題を抱えている他の人を助けるために私の調査結果を投稿します。

IPAサーバーで、389-dsログが見つかりました:/var/log/dirsrv/slapd-HOSTNAME/access

ログのエントリを見ると、「検索ベース」に対応するDNの余分な文字に気づきました。 Windows管理者にRDPセッションをDCと共有してもらい、HKEY_LOCAL_MACHINE\SOFTWARE\PasswordSyncのレジストリを確認しました。

ここで、「検索ベース」キーに同じ文字があることに気づきました。これらの余分な文字は、ドキュメントから誤ってコピーして貼り付けられたと思います。

それらを削除してサービスを再起動すると、問題は解決しました。

1
KingBob