我正在尝试将 FreeIPA 与 Active Directory 集成,以便通过以下步骤为 Windows 和 Linux 用户提供单点登录本指南。
我已经成功创建了“winsync”协议,并将 AD 数据加载到 FreeIPA 中,但我还在努力设置 Windows 密码同步这指南的一部分。
当用户更改密码时,我会在域控制器上的 389 PassSync 插件日志中看到以下内容:
06/17/16 08:47:32: Backoff time expired. Attempting sync
06/17/16 08:47:32: Password list has 1 entries
06/17/16 08:47:32: Attempting to sync password for some.user
06/17/16 08:47:32: Searching for (ntuserdomainid=some.user)
06/17/16 08:47:32: Ldap error in QueryUsername
34: Invalid DN syntax
06/17/16 08:47:32: Deferring password change for some.user
06/17/16 08:47:32: Backing off for 1024000ms
当我从 CLI 运行查询时,使用 PassSync 插件使用的相同用户和密码,查询成功:
$ ldapsearch -x -h ldaps://localhost -p 636 -D 'uid=passsync,cn=sysaccounts,cn=etc,dc=dc,my=domain,dc=com' -w 'password' -b 'cn=users,cn=accounts,dc=my,dc=domain,dc=com' '(ntuserdomainid=some.user)'
有人能指出我做错什么吗?
答案1
我已经找到了答案,我会发布我的发现来帮助遇到类似问题的人。
在IPA服务器上,我发现了389-ds日志:/var/log/dirsrv/slapd-HOSTNAME/access
查看日志中的条目,我注意到 DN 中与“搜索库”对应的一些额外字符。我让 Windows 管理员将其 RDP 会话共享到 DC,并查看了注册表HKEY_LOCAL_MACHINE\SOFTWARE\PasswordSync。
我在这里注意到“Search Base”键中有相同的字符。我认为这些额外的字符是从文档中意外复制粘贴的。
删除它们并重新启动服务已解决问题。