Назад | Перейти на главную страницу

sAMAccountName требует DOMAIN \ для аутентификации

Я пытаюсь интегрировать SLES с сервером каталогов Windows Active Directory для аутентификации.

Нам нужно использовать sAMAccountName в качестве имени входа, но его невозможно привязать, если мы не укажем DOMAIN / sAMAccountName в команде ldapsearch. Но окно входа в систему любого приложения не поддерживает указание имени домена перед пользователем. Я настроил ldap.conf и krb5.conf для аутентификации. Есть ли способ дать "ДОМЕН /" в начале sAMAccountName по умолчанию для привязки?

Это нормально работает: ldapsearch -x -LLL -h adserver.customer.entp.tgc -D CUSTOMER \ EXT123456 -w password -b "dc = customer, dc = entp, dc = tgc"

Заранее благодарим за ответы.

Нынонур

Я не знаю деталей вашего приложения, но мне кажется, что оно несовместимо с Active Directory.

Прочтите общедоступную документацию для ADS_NAME_TYPE_ENUM.

Это форматы имени входа, с которыми вам разрешено входить в систему. «EXT123456» к их числу не относится.

Я знаю, что вы думаете, что «EXT123456» входит в систему с именем sAMAccountName, но на самом деле это не так. Снова посмотрите документацию. На самом деле не существует допустимого формата входа в систему, который соответствовал бы шаблону «EXT12345» (или «johndoe»).

Само по себе «имя пользователя» не является допустимым форматом входа. На самом деле это допустимый формат входа в систему ... для пользователя Отображаемое имя.

Active Directory на самом деле попытается решить эту проблему Отображаемое имя. ADS_NAME_TYPE_DISPLAY.

Поэтому, если вы не можете заставить свое приложение принимать префикс домена или суффикс UPN, или попросить пользователей входить в систему с их отображаемыми именами ... Active Directory не просто предполагает, что пустая строка «johndoe» является sAMAccountName.

Но вы не одиноки. Большинство людей полагают, что вход в AD без префикса домена или UPN каким-то волшебным образом отображается на sAMAccountName. Но это не так. Если вы хотите увидеть, как это работает, используйте ldp.exe и выполните простые привязки, используя учетную запись пользователя, отображаемое имя которой отличается от sAMAccountName, и не указывайте имя домена. Какой из них вас впускает? Это отображаемое имя.