使用Microsoft Active的集群LDAP配置

Question

我对在人群中配置LDAP有一个问题。

后台运行亚特兰群岛群的远程CentOS服务器需要与内部的Microsoft集成。

我们为人群配置了以下模糊的详细信息：

• 网址:ldap://ldaps.xyzgroup p.com.uk:389
• 基本DN: OU=Users，DC=xyz，DC=local
• 用户帐户: xyz\parkbasead
• 密码：

问题群正确验证服务器，但当用户登录时抛出异常：

AcceptSecurityContext error, data 52e, v1db1]; nested exception is javax.naming.AuthenticationException: [LDAP: error code 49 - 80090308: LdapErr: DSID-0C090400, comment: AcceptSecurityContext error, data 52e, v1db1]

考虑到上面的详细信息，什么是基本DN，我们应该使用UPN (完全限定的用户名)从远程服务器登录吗？在基本DN中，如果应该将DC=local替换为有意义的域控制器名称，有人能分享想法吗？

Answer 1

在这里解决每个问题，但在未来，你真的应该避免在一个问题中的多个问题。当一个问题中有多个问题时，人们就不太可能提供帮助。

1. 在中，用户是一个容器，而不是OU。因此，作为LDAP路径的Base实际上是: CN=Users、DC=xyz、DC=local。注逗号后面没有空格。Base也可以是DC=xyz，DC=local。Base指定中搜索的根。根据我的经验，如果您是每个大型组织，那么将Base指定为目录的根目录确实会导致CPU时间上的成本稍微高一些，因为Active Directory中有更多级别可查看以查找用户，因此如果您的所有用户都在这里，我将尝试首先使用CN=Users、DC=xyz、DC=local作为基本DN。如果没有，那么尝试DC=xyz，DC=local，它类似于下面的示例，其中Base是ISL.local。

​

​

​

​

1. UPN看起来像parkbasead@xyz.local。根据我的经验，根据安装的身份验证库，来自远程服务器的工作可能或不起作用，所以也可以自行尝试parkbasead。当客户端和服务器的域成员身份为xyz.local时，假定为xyz.local。
2. 请注意，域控制器名称从来不是Base的一部分，因为Base只不过是LDAP路径。

这里有一个关于这个主题的很好的外部参考，我在这里找到了示例和截图：如何找到正确的基本DN设置

编辑：根据我的经验，解决您怀疑可能向Active发送了错误密码或锁定在Active Directory中的帐户问题的最佳方法是使用Microsoft帐户锁定状态工具。它将告诉您任何帐户锁定的来源，然后您可以迅速通知AD管理员解锁帐户。小心不要只依赖于代码，LDAP代码可能是神秘的，问题的真正来源可能是或不直接涉及到代码中。Microsoft帐户锁定状态工具示例：

​

​