我试图允许外部基于Linux的应用程序服务器的用户通过LDAPS使用他们的Active Directory凭据进行服务validation。 它适用于pipe理员帐户,但正常用户帐户失败。
问题是有一个“login工作站”设置的用户,限制他们login到域控制器(DC)(或创build一个限制,他们只能login到他们指定的工作站)
初始的LDAP查询是以服务帐户的名义工作的,但是在进行HTTPvalidation时,LDAP服务从服务帐户解除绑定并尝试以用户身份进行绑定。 此时失败。
有没有解决的办法? 通过这种方式来限制对DC的访问是常见的做法吗?
我build议用GPO拒绝交互式/ RDPlogin到DC:
“计算机设置/安全设置/本地策略/用户权限分配/拒绝本地login”
我已经看到了定制/企业软件和一些Linux机器的问题。 在这些情况下,“login工作站”应将DC列入允许的工作站列表中。 我想这是连接到这些系统尝试authentication用户的方式。 看一个例子: https : //confluence.atlassian.com/display/CONFKB/Unable+to+Log+in+Because+of+userWorkstations+Attribute+in+Active+Directory
最后根据https://primalcortex.wordpress.com/2007/11/28/active-directory-ldap-errors/分析Linux日志并search数据代码531
请记住,“用户工作站”属性有限制: https : //support.microsoft.com/en-us/kb/938458