ldap / proxy AD: Imansible bind con il nome sAMAccountName, ma cognome e nome è in grado di bind

Sto tentando di impostare un proxy pass-through a Active Directory, utilizzando ldap su Debian Wheezy. Il file slapd.conf è sotto. Posso bind solo trovare usando cognome, nome:

ldapsearch -x -h localhost -b "OU=Site-Users,DC=mycompany,DC=local" -D "cn=LaCroix\, Jay,OU=My Group,OU=Site-Users,DC=mycompany,DC=local" -W "(sAMAccountName=jlacroix)" cn sAMAccountName 

E questo funziona:

 result: 0 Success 

Ma quello che vogliamo fare è bind tramite il nome utente (sAMAccountName):

 ldapsearch -x -h localhost -b "OU=Site-Users,DC=mycompany,DC=local" -D "cn=jlacroix,OU=My Group,OU=Site-Users,DC=mycompany,DC=local" -W "(sAMAccountName=jlacroix)" cn sAMAccountName 

e questo non funziona:

 ldap_bind: Invalid credentials (49) additional info: 80090308: LdapErr: DSID-0C0903A9, comment: AcceptSecurityContext error, data 52e, v1db1 

Nota: Nonostante questo errore, le mie credenziali sono corrette, come si vede nel primo esempio in cui le opere legali vengono eseguite tramite cognome, nome.

Ho cercato attraverso esempi per un certo numero di settimane e, non import quello che provo, non posso sembrare legato a sAMAccountName, solo cognome, nome.

Posso cercare sAMAccountName quando si cerca direttamente contro AD, ma non quando si utilizza il mio proxy ldap.

Ecco il mio /etc/ldap/slapd.conf:

 # Import our schema include /etc/ldap/schema/core.schema include /etc/ldap/schema/cosine.schema include /etc/ldap/schema/inetorgperson.schema include /etc/ldap/schema/nis.schema include /etc/ldap/schema/samaccountname.schema moduleload back_ldap moduleload back_bdb.la moduleload rwm # Support both LDAPv2 and LDAPv3 allow bind_v2 pidfile /var/run/slapd/slapd.pid argsfile /var/run/slapd/slapd.args loglevel 1 # Our slapd-ldap back end to connect to AD database ldap suffix ou=Site-Users,dc=mycompany,dc=local subordinate rebind-as-user yes uri ldap://10.10.10.99:389 chase-referrals yes readonly yes #protocol-version 3 overlay rwm rwm-map attribute uid sAMAccountName rwm-map attribute mail proxyAddresses binddn cn=ADreader bindpw supersecretpassword # Our primary back end database bdb suffix dc=mycompany,dc=local rootdn cn=admin,dc=mycompany,dc=local rootpw supersecretpassword directory /var/lib/ldap # Indexes for this back end index objectClass eq,pres index ou,cn,mail,surname,givenname eq,pres,sub index uid eq,pres,sub 

  • Proxy inverso inverso con SSL per Windows
  • Come posso scaricare un file eseguibile all'interno della networking aziendale quando è stato bloccato?
  • Nginx avanza tls basato sul dominio
  • Server proxy gratuiti per Windows OS?
  • TinyProxy: schermo vuoto
  • Come configurare una networking per bloccare gmail ma consentire la posta Google Apps?
  • Perché dovrei usare Squid?
  • Come proteggere i dati delle transactions sulla mia carta di credito dal server proxy hacker?
  • One Solution collect form web for “ldap / proxy AD: Imansible bind con il nome sAMAccountName, ma cognome e nome è in grado di bind”

    Le opere di "funziona" perché il DN dell'object è cn=LaCroix\, Jay,OU=My Group,OU=Site-Users,DC=mycompany,DC=local . Il secondo non funziona perché il DN dell'object non è cn=jlacroix,OU=My Group,OU=Site-Users,DC=mycompany,DC=local .

    Non è che si è vincolanti con il "Cognome, Nome", piuttosto che la CN dell'object è impostato su "Cognome, Nome" e sei binding con il CN dell'object. Non puoi solo mettere il nome sAMAccountName come CN e aspettatelo che funzioni. Il CN dell'object è il CN dell'object.

    La connessione diretta a AD con un bind DN di "DOMAIN \ sAMAccountName" funziona bene. Non credo che OpenLDAP gestirà questo, pensò. Probabilmente sta per rifiutare questa syntax, anche se, dalla prospettiva di Active Directory, functionrà bene.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.