Назад | Перейти на главную страницу

Нужна помощь в создании сервера LDAP, который синхронизирует пользователей с 3 отдельных контроллеров AD.

Надеюсь, мне здесь помогут, потому что я действительно бился головой о старую клавиатуру здесь.

Итак, вот ситуация.

Недавно мы перевели конечных пользователей с локального сервера Exchange на Exchange Online, и клиент решил использовать Barracuda Cloud Archiving в качестве решения для архивирования. Здесь начались все проблемы. Barracuda сказал нам, что мы сможем пройти аутентификацию на всех трех DC, когда мы начали проект, потому что мы предполагали, что все три DC находятся в одном лесу.

Что ж, Barracuda не смогла пройти аутентификацию на контроллерах домена, потому что они находятся в доверии, а не в лесу. А Barracuda использует плагин Outlook, который требует, чтобы их сервер аутентифицировался на нашем сервере ldap, чтобы разрешить доступ конечным пользователям. Архивный почтовый ящик.

Теперь Barracuda может принять только одно соединение LDAP для аутентификации, поэтому мы застряли в том, что 2/3 наших пользователей не могут пройти аутентификацию.

Моя идея в качестве обходного пути (кроме правильной перестройки домена, которая есть в планах, но не является наивысшим приоритетом или есть ли у нас время и ресурсы для переноса всех пользовательских данных на основной DC в настоящее время) заключалась в создании Linux Server и используйте OpenLDAP и SASL Authentication для сквозной аутентификации. к коррелирующим DC.

Теперь я потратил как минимум 4 полных дня на работу, пытаясь решить эту проблему, и я не могу заставить это работать. Я могу успешно запустить testsaslauthd, используя следующую команду и результат.

testsaslauthd -u test@domain.com -p password
0: OK "Success."

Но когда я запускаю команду поиска LDAP, вот результаты:

ldapsearch -x -H ldap://maindc.domain.com -b dc=domain,dc=com -d uid=test,ou=people,dc=my-domain,dc=com -w password

ldap_bind: Invalid credentials (49)
additional info: 80090308:  LdapErr: DSID-0C09042F, comment: AcceptSecurityContext error, data 52e, v2580

Итак, я надеюсь, что, возможно, кто-то из присутствующих поможет мне исправить эту ошибку или, может быть, предоставит лучший способ сделать то, что я пытаюсь сделать. Я всего лишь младший системный администратор, так что идите на восток, пожалуйста.

Спасибо за помощь!

Я отправлю это как ответ, чтобы получить более 400 символов.

Думаю, вы могли неправильно меня понять в моем комментарии. В своем вопросе вы сказали, что использовали следующую команду: ldapsearch -x -H ldap://maindc.domain.com -b dc=domain,dc=com -d uid=test,ou=people,dc=my-domain,dc=com -w password

Как я уже говорил ранее, я плохо знаком с командой ldapsearch. Но ваши сообщения об ошибках: Invalid credentials (49)

Если я посмотрю здесь справочную страницу ldapsearch, https://linux.die.net/man/1/ldapsearch, Я вижу это -d - установить уровень отладки. И я не уверен что uid=test,ou=people,dc=my-domain,dc=com соответствует.

Проблема здесь в том, что вы не указали имя пользователя для входа в активный каталог. Итак, я подумал, что вы могли перепутать -d для -D.

Возможно ли, что вам следует заменить -d uid=test,ou=people,dc=my-domain,dc=com с участием -D "test@my-domain.com"?

Даже если я неправильно интерпретирую часть вашей команды, по крайней мере, вам нужно указать имя пользователя И пароль при подключении к активному каталогу. Итак, вам нужно использовать -D и -W в вашей команде каким-то образом.