我正在尝试将 Linux 服务器添加到由 AD 控制的网络。目的是使服务器的用户能够针对 AD 域进行身份验证。我可以使用 Kerberos,但 NSS/PAM 问题更多。我正在尝试使用如下所示的简单命令进行调试,请查看错误。有人可以帮我调试吗?
root@antonyg04:~# ldapsearch -H ldap://raadc04.corp.MUNGED.com/ -x -D
"cn=MUNGED,ou=Users,dc=corp,dc=MUNGED,dc=com" -W uid=MUNGED
Enter LDAP Password:
ldap_bind: Invalid credentials (49)
additional info: 80090308: LdapErr: DSID-0C090334, comment: AcceptSecurityContext
error, data 525, vece
我不得不记下一些细节,但我可以告诉你,cn=MUNGED 是我登录 AD 域的用户名,我输入的密码是该域的密码。我不知道为什么它显示“无效凭据”,其余的错误信息也非常隐晦,我完全不知道。
我的方法是否有缺陷?我的 DN 明显错误吗?我该如何确认正确的 DN?网上有一个工具,但我找不到它。
注意:我无法访问 AD 服务器进行管理或配置。
答案1
我在 IRC 上获得了一些很好的帮助,现在我可以绑定:
ldapsearch -H ldap://raadc04.corp.MUNGED.com/ -x -D USERNAME_MUNGED@DOMAIN_MUNGED.com
-W sAMAccountName=MUNGED
因此我改变了 -D 参数,并将查找从 uid 更改为 sAMAccountName。
答案2
我已经在这里记录了这个过程,那是有一段时间了,但我有一些积极的 f/b,而且这在最近的 Fedora 上运行得很好。
您的问题是,您使用 ldap 工具的用户名和密码需要是 AD 的绑定用户,而您的凭证不足。
但是,我认为您需要的关键是能够获取密钥并进行绑定,而您必须拥有一个管理员帐户。即,您需要一个管理员朋友。
有一些更简单的 ldap 身份验证模型,但您的 AD 必须同意与它们对话。