尝试让我的 pfSense 盒针对我的 Samba4 Active Directory 域控制器进行身份验证。
- PfSense 版本:2.4.5(今天更新,但升级前也无法运行)
- PfSense IP:10.0.0.1
- Samba 版本是 4.9.5
- Samba/DNS IP:10.0.0.2
我在 Active Directory 中设置了一个用户:其中包含pfSense 中的“绑定凭据”pfsense组。pfsense-admin
我的身份验证服务器在 pfSense 中的设置如下:
- 名称:pfSense-AD
- 类型:LDAP
- 主机名:dc1.example.home
(also tried IP 10.0.0.2, no go) - 端口值:389
- 传输:TCP-标准
- 对等证书颁发机构:全局根 CA 列表
- 协议版本:3
- 服务器超时:25
- 搜索范围:级别 - 整个子树,基本 DN - DC=example,DC=home
- 身份验证容器:CN=Users,DC=example,DC=home
(also tried CN=Users;DC=example,DC=home, no change) - 扩展查询:未选中
- 绑定匿名:未选中
- 绑定凭证:CN=pfsense、CN=Users、DC=example、DC=home(使用正确的密码,检查了三次),也尝试过[电子邮件保护], 不用找了。
- 用户命名属性:samAccountName
- 组命名属性:cn
- 组成员属性:memberOf
- RFC 2307 组:未选中
- 组对象类:posixGroup
- UTF8 编码:未检查
- 用户名修改:未选中
pfSense 诊断测试端口报告Port test to host: dc1.example.home Port: 389 successful.
当我尝试在“诊断”->“身份验证”中测试身份验证时,错误很简单:
The following input errors were detected: Authentication failed.
系统日志显示:Mar 29 13:28:17 php-fpm 1930 /diag_authentication.php: ERROR! Could not bind to LDAP server pfsense-AD. Please check the bind credentials.
Samba 服务器正在运行,Active Directory 也正常工作 - 我可以通过 Windows 10 Pro 上的 RSAT 连接到 Active Directory 并操作目录。还在传输设置上测试了 SSL,但也没有成功。
通过上述配置,大约 20 分钟后它开始工作...但是今天早上再次测试后我收到了相同的错误消息。
我被难住了。感谢您提供的任何帮助。
答案1
我通过ldap server require strong auth = no在 smb.conf 中进行设置解决了这个问题。当我尝试从 pfsense 的命令行使用 ldapsearch 时,我不断收到
ldap_bind: Strong(er) authentication required (8) additional info: BindSimple: Transport encryption required.
当我 100% 确定所有信息都是正确时。samba.org 上的电子邮件列表主题为我指明了正确的方向。
答案2
在对这个问题进行了大量研究之后,我意识到 pfSense 的选项已经存在,不要禁用“ldap 服务器需要强身份验证 = 否”
在 pfsense 2.4.5 中,您需要使用任何证书通过 tcp-starttls 更改传输选项
对我来说它有效