Нужна помощь в создании LDAP-сервера, который синхронизирует пользователей с 3-мя отдельными контроллерами AD

Question

Нужна помощь в создании LDAP-сервера, который синхронизирует пользователей с 3-мя отдельными контроллерами AD

Надеюсь, мне здесь помогут, так как я действительно бился головой о старую клавиатуру здесь.

Итак, вот ситуация. Exchange Online, и клиент решил использовать Barracuda Cloud Archiving в качестве решения для архивирования. Здесь начались все проблемы. Barracuda сказал нам, что мы сможем пройти аутентификацию по всем трем DC, когда мы начали проект, потому что мы предполагали, что все три DC находятся в одном лесу.

Что ж, Barracuda не смогла пройти аутентификацию на DC, потому что они находятся в доверии, а не в лесу. Barracuda использует плагин Outlook, который требует, чтобы их сервер аутентифицировался на нашем сервере ldap, чтобы разрешить доступ конечным пользователям. Архивный почтовый ящик.

Теперь Barracuda может принять только одно соединение LDAP для аутентификации, поэтому мы застряли с 2/3 наших пользователей, неспособных пройти аутентификацию.

Моя идея в качестве обходного пути (кроме правильной перестройки Домена, что есть в планах, но не Наивысшим приоритетом или есть ли у нас время и ресурсы для переноса всех пользовательских данных на главный DC в настоящее время) заключалось в создании Linux Server и использовании OpenLDAP и SASL Authentication для сквозной аутентификации. к коррелирующим DC.

Теперь я провел как минимум 4 полных дня на работе, пытаясь решить эту проблему, и я не могу заставить это работать. Я могу успешно запустить testsaslauthd, используя следующую команду и результат.

testsaslauthd -u test@domain.com -p password
0: OK "Success."

Но когда я запускаю команду поиска LDAP, вот результаты:

ldapsearch -x -H ldap://maindc.domain.com -b dc=domain,dc=com -d uid=test,ou=people,dc=my-domain,dc=com -w password

ldap_bind: Invalid credentials (49)
additional info: 80090308:  LdapErr: DSID-0C09042F, comment: AcceptSecurityContext error, data 52e, v2580

Итак, я надеюсь, что, возможно, кто-то здесь поможет мне исправить это ошибка, или, может быть, предоставить лучший способ сделать то, что я пытаюсь сделать. Я всего лишь младший системный администратор, так что идите на восток, пожалуйста.

Спасибо за помощь!

1

active-directory openldap sasl saslauthd

задан thedelorean 25 July 2017 в 23:39

Ссылка

1 ответ


         
              



      
        Теги
        
         active-directory openldap sasl saslauthd       

        Похожие вопросы
        
          
                          232 
 Как я могу узнать, каких AD групп я являюсь членом? - 10 February 2010 18:44 
                            136 
 Командная строка для списка пользователей в группе Windows Active Directory? - 4 July 2011 17:12 
                            129 
 Найдите название Контроллера доменов Active Directory - 25 October 2009 16:02 
                            116 
 Существует ли способ просмотреть членов группы Active Directory, если Вы не администратор домена и не можете войти к контроллеру домена? - 8 June 2009 23:52 
                            109 
 Как я могу выяснить свою строку подключения LDAP? - 8 April 2010 16:43 
                            90 
 Windows Active Directory, называющий лучшие практики? - 13 April 2017 15:14 
                            72 
 Active Directory объяснен - 3 June 2009 03:10 
                            54 
 Как удалить профиль пользователя домена из компьютера? - 20 November 2012 11:01 
                            52 
 Получите список AD групп, которых пользователь является членом - 19 August 2013 21:42 
                            49 
 Если магазин Windows перемещает “все” в облако, ему все еще нужен Active Directory? - 13 April 2017 15:14 
                            46 
 Какое-либо различие между DOMAIN\username и username@domain.local? - 18 December 2015 17:52 
                            46 
 Я должен выставить свой Active Directory общедоступному Интернету для удаленных пользователей? - 6 February 2014 21:03 
                            46 
 Отключите правило сложности пароля в Active Directory - 31 December 2013 18:07 
                            40 
 Что должно порядок серверов DNS быть для AD Контроллера домена и Почему? - 13 April 2017 15:14 
                            40 
 Как позволить пользователям Active Directory удаленному рабочему столу в? - 21 August 2012 00:15

score 0 · Answer 1 · 4 December 2019 в 04:48

Я отправлю это в качестве ответа, чтобы получить более 400 символов.

Я думаю, вы могли неправильно меня понять в моем комментарии. В своем вопросе вы сказали, что использовали следующую команду: ldapsearch -x -H ldap: //maindc.domain.com -b dc = domain, dc = com -d uid = test, ou = people, dc = my-domain, dc = com -w password

Как я уже говорил ранее, я плохо знаком с командой ldapsearch. Но ваши сообщения об ошибках: Недействительные учетные данные (49)

Если я посмотрю здесь справочную страницу ldapsearch, https://linux.die.net/man/1/ldapsearch , Я вижу, что -d предназначен для установки уровня отладки. И я не уверен, чему соответствует uid = test, ou = people, dc = my-domain, dc = com .

Проблема в том, что вы не указали имя пользователя для входа активный каталог с расширением. Итак, я подумал, что вы могли перепутать -d для -D .

Возможно, вам следует заменить -d uid = test, ou = people, dc = my-domain, dc = com с -D (скрыто), если я неправильно интерпретирую часть вашей команды, по крайней мере, вам нужно указать имя пользователя И пароль при подключении к активному каталог. Итак, вам нужно каким-то образом использовать -D и -W в вашей команде.