我已经设置了 Domino 帮助以使用 AD 登录和组身份验证。在数据库的 ACL 中,我输入了 AD 组名,除单个用户外,其他用户都可以使用其 AD 凭据正常登录。
我不使用 AD 同步,并且用户不存储在 Domino 目录中。
我已经设置了 LDAPDebug=3(也尝试了(15)),并且我确实在 domino 控制台中看到了一些 ldap 查询,但它们似乎与尝试登录的用户无关
当我查看 domlog.nsf 时,我发现用户在尝试登录时遇到错误。 401 UNAUTHORIZED(客户端无权访问数据)
我已经与同一 AD 组中的其他用户进行了验证,并且用户设置相同,还检查了广告中的专有名称、邮件和 sn 字段。
我该如何进一步排除故障?我希望 Domino 在控制台中报告向 AD 发出的值或请求,但我只能获得存储在 Domino 目录中的用户的信息
用户名称中不包含任何奇怪字符
Domino v11
谢谢
托马斯
答案1
仅从纯 AD 角度来看,受影响的用户是否是大量 Active Directory 组的成员?
如果它们属于超过 1010 个直接或传递组,则帐户的 LSA 访问令牌可能无法创建,因此他们无法登录目标系统。这可能会影响 Kerberos 和 NTLM 身份验证。
更常见的是 - 这取决于操作系统版本 -Kerberos 身份验证,可以超出票证的 MaxTokenSize用户属于太多组。在第二种情况下,这与固定数量的组无关 - 它可以包括域内和域外的组成员身份,以及“sidHistory”(如果帐户已在域之间迁移)。但这通常也与大量组成员身份相结合。
如果涉及 Win 7/Server 2008 R2 或更早的系统,MaxTokenSize 是较新操作系统的三分之一(除非将其定制为更大)。但在存在大量嵌套/传递成员的大型组的环境中,即使是更大的大小也可能被超越。
无论如何,首先要检查的是帐户所属的组数,以递归方式检查。如果组数达到 100 个,则应检查 MaxTokenSize。