Fatal编程技术网
  • active-directory/
  • Active directory 使用Microsoft Active Directory群组LDAP配置

Active directory 使用Microsoft Active Directory群组LDAP配置

active-directory ldap

Active directory 使用Microsoft Active Directory群组LDAP配置,active-directory,ldap,atlassian-crowd,Active Directory,Ldap,Atlassian Crowd,我对群组中LDAP的配置有一个问题 背景 运行Atlassian Crowd的远程CentOS服务器需要与内部Microsoft Active Directory集成 我们使用以下模糊的详细信息配置了群组: 网址:ldap://ldaps.xyzgroup.com.uk:389 基本DN:OU=用户,DC=xyz,DC=本地 用户帐户:xyz\parkbasead 密码: 问题 群组正在正确验证服务器,但在用户登录时引发异常: AcceptSecurityContext错误,数据52e,v1

我对群组中LDAP的配置有一个问题

背景 运行Atlassian Crowd的远程CentOS服务器需要与内部Microsoft Active Directory集成

我们使用以下模糊的详细信息配置了群组:

  • 网址:ldap://ldaps.xyzgroup.com.uk:389
  • 基本DN:OU=用户,DC=xyz,DC=本地
  • 用户帐户:xyz\parkbasead
  • 密码:
问题 群组正在正确验证服务器,但在用户登录时引发异常:

AcceptSecurityContext错误,数据52e,v1db1];嵌套异常为javax.naming.AuthenticationException:[LDAP:错误代码49-80090308:LDAPPER:DSID-0C090400,注释:AcceptSecurityContext错误,数据52e,v1db1]
鉴于上述详细信息,什么构成基本DN?我们应该使用UPN(完全限定用户名)从远程服务器登录吗?
在基本DN中,如果DC=local应替换为有意义的域控制器名称,是否有人可以分享想法?

在这里解决每个问题,但将来您应该真正避免在一个问题中出现多个问题。当一个问题中有多个问题时,人们不太可能提供帮助

  • 在Active Directory中,用户是一个容器而不是OU。因此,在您的示例中,基本DN(LDAP路径)实际上是:CN=Users,DC=xyz,DC=local。注意逗号后没有空格。基本DN也可以是DC=xyz,DC=local。基本DN指定Active Directory中搜索的根目录。根据我的经验,如果您是一个大型组织,那么将基本DN指定为目录的根目录确实会带来略高的CPU时间成本,因为在Active Directory中有更多级别可以查找用户,因此如果您的所有用户都在该目录中,我会尝试使用CN=Users,DC=xyz,DC=local first作为基本DN。如果没有,请尝试DC=xyz,DC=local,这类似于下面的示例,其中基本DN为ISL.local

  • UPN看起来像parkbasead@xyz.local. 根据我的经验,从远程服务器进入时,根据安装的身份验证库,这可能会起作用,也可能不会起作用,所以也可以单独尝试parkbasead。当客户端和服务器的域成员身份为xyz.local时,假定为xyz.local。

  • 请注意,域控制器名称从来不是基本DN的一部分,因为基本DN只不过是LDAP路径

    • 这里有一个关于这个主题的很好的外部参考,我在这里找到了示例和屏幕截图:

    编辑:根据我的经验,对您怀疑可能向Active Directory发送了错误密码或在Active Directory中被锁定的帐户进行故障排除的最佳方法是使用。它将告诉您任何帐户锁定的来源,然后您可以快速通知广告管理员解锁帐户。小心不要只依赖代码,LDAP代码可能是神秘的,问题的真正根源可能与代码直接相关,也可能与代码无关。Microsoft帐户锁定状态工具的示例:

    谢谢您的详细解释。所以我用了parkbasead和parkbasead@xyz.local用于使用ad进行身份验证,两次都出现不同的错误。。对于parkbasead@xyz.local我得到了
    AcceptSecurityContext错误,数据775,v1db1];[LDAP:错误代码49-80090308:LDAPPER:DSID-0C090400,注释:AcceptSecurityContext错误,数据775,v1db1]
    对于parkbasead,我得到了
    AcceptSecurityContext错误,数据52e,v1db1];嵌套异常为javax.naming.AuthenticationException:[LDAP:错误代码49-80090308:LDAPPER:DSID-0C090400,注释:AcceptSecurityContext错误,数据52e,v1db1]
    一点调查表明数据52e与无效密码有关,数据775与锁定帐户有关,总是这样吗?不一定总是这样,但它们是最常见的两个问题。根据我的经验,解决您怀疑可能向Active Directory发送了错误密码或在Active Directory中被锁定的帐户问题的最佳方法是使用Microsoft帐户锁定状态工具。它将告诉您任何帐户锁定的来源,然后您可以快速通知广告管理员解锁帐户。我已经用这些信息和一个额外的屏幕截图编辑了我的答案。在我的情况下,帐户是正确的,密码是正确的,并且帐户没有被锁定。可能是不知什么原因突然开始的。我通过使用完整的UPN解决了这个问题(user@domain.com)以获得身份验证并避免此错误。另一个应用程序使用相同的帐户,不需要UPN。