由于多域环境非常复杂,我们正在运行一个 OpenLDAP 服务器,它充当仅允许集成一个域的组件的反向代理。
到目前为止,这种方法运行良好,但现在当用户必须更改密码时,我们遇到了一个奇怪的问题。
如果我们使用有效凭据直接与后端 DC 进行 ldapbind,我们会收到错误消息“无效凭据(49)”,但这就是重点,我们还会获得其他信息,其中我们可以看到上下文错误“773”,这让我们知道,提供的凭据是正确的,但用户需要更改密码。
ldapsearch -H ldaps://SubCompanyADServer -b "dc=subcompany2,dc=local" -D "cn=Mustermann MAX,ou=Users,dc=subcompany2,DC=local" "samAccountName=mustermann" -x -w CORRECTPW
ldap_bind: Invalid credentials (49)
additional info: 80090308: LdapErr: DSID-0C090442, comment: AcceptSecurityContext error, data 773, v3839
如果我对 OpenLDAP 服务器执行相同操作,我只会收到错误消息“ldap_bind:无效凭据(49)”,而没有更多信息。
ldapsearch -H ldaps://OPENLDAPSERVER -b "dc=companygroup,dc=local" -D "cn=Mustermann MAX,ou=Users,dc=subcompany2,dc=companygroup,dc=local" "samAccountName=mustermann" -x -w CORRECTPW
"ldap_bind: Invalid credentials (49)"
OpenLDAP 配置:
您知道如何配置 OpenLDAP 来转发附加信息吗?
答案1
问题 - 输入密码时,是否有特殊字符?如果是,您可能需要使用转义字符 \
--- 密码示例 !!P@ssword12345!!
ldapsearch -H ldaps://SubCompanyADServer -b "dc=subcompany2,dc=local" -D "cn=Mustermann MAX,ou=Users,dc=subcompany2,DC=local" "samAccountName=mustermann" -x -w \!\!P\@ssword12345\!\!
我们尝试设置我们的 ldapbind 并遇到了类似的身份验证问题,事实证明是密码问题。