我正在尝试将FreeIPA与Active Directory集成,以便按照本指南为Windows和Linux用户提供单点login。
我已经成功地创build了“winsync”协议,并将AD数据加载到FreeIPA中,但是我正努力从本指南的这一部分设置Windows密码同步。
当用户更改密码时,我在域控制器上的389 PassSync插件日志中看到以下内容:
06/17/16 08:47:32: Backoff time expired. Attempting sync 06/17/16 08:47:32: Password list has 1 entries 06/17/16 08:47:32: Attempting to sync password for some.user 06/17/16 08:47:32: Searching for (ntuserdomainid=some.user) 06/17/16 08:47:32: Ldap error in QueryUsername 34: Invalid DN syntax 06/17/16 08:47:32: Deferring password change for some.user 06/17/16 08:47:32: Backing off for 1024000ms
当我从CLI运行查询时,使用PassSync插件使用的相同用户和密码,它是成功的:
$ ldapsearch -x -h ldaps://localhost -p 636 -D 'uid=passsync,cn=sysaccounts,cn=etc,dc=dc,my=domain,dc=com' -w 'password' -b 'cn=users,cn=accounts,dc=my,dc=domain,dc=com' '(ntuserdomainid=some.user)'
任何人都可以指出我做错了什么?
我想通了,我会张贴我的发现,以帮助其他有类似问题的人。
在IPA服务器上,我find了389-ds日志: /var/log/dirsrv/slapd-HOSTNAME/access
看看日志中的条目,我注意到DN中对应于“Search Base”的一些额外字符。 我得到了Windowspipe理员分享他的RDP会话到DC,并在HKEY_LOCAL_MACHINE\SOFTWARE\PasswordSync
查看registry。
在这里,我注意到“search基地”键中的相同字符。 我认为这些额外的字符是从文档中意外复制粘贴的。
删除它们并重新启动服务已解决该问题。