У меня есть сервер Mac Mini под управлением Snow Leopard и установлен Redmine.
Теперь я хотел бы, чтобы мои пользователи могли аутентифицироваться на сервере Open Directory, но не могу заставить его работать.
Вот как я установил Redmine (простите меня за небольшое изменение доменных имен):
Name = My Directory
Host = host.subdomain.domain.org
Port = 389
LDAPS = no
Account = uid=root
Password = $rootpassword
Base DN = DC=host,DC=subdomain,DC=domain,DC=org
On-the-fly user creation = yes
Attributes
Login = sAMAccountName
Firstname = givenName
Lastname = sN
Email = mail
Но каждый раз, когда я пытаюсь войти в систему с учетной записью в открытом каталоге, он сообщает мне Invalid user or password и попытка входа в систему даже не отображается в журналах ldap.
Варианты учетной записи, через которую я прошел:
root did nothing, 'wrong dn' in ldap logs
root@subdomain.domain.org Can't login: "Invalid user or password", nothing in logs
root@host.subdomain.domain.org Can't login: "Invalid user or password", nothing in logs
uid=root Can't login: "Invalid user or password", nothing in logs
cn=root Can't login: "Invalid user or password", nothing in logs
Варианты атрибута Login:
sAMAccountName "Invalid user or password"
uid "Invalid user or password"
с последней версией Bitnami 3.3.1.0 я использовал следующие настройки:
Name = My Directory (anything you want)
Host = ldap-auth-serv.host.local (yes, the .local)
Port = 636
LDAPS = yes
Account = RedminAuthUser@domain.local (userPrincipalName Redmine user from AD)
Password = hisPassword
Base DN = OU=UsersCorp,DC=domain,DC=org
On-the-fly user creation = yes
Attributes
Login = sAMAccountName
Firstname = givenName
Lastname = sN
Email = mail
Для аутентификации LDAPS создан новый шаблон сертификата SSL LDAP, выдан сертификат для DC1, установлен этот сертификат для доменных служб Active Directory (экспорт-импорт), проверено ldp.exe LDAPS-соединение с портом 636. И иди!
Что ж, я решил. Используемый эта ссылка.
Короче говоря, правильная (или) конфигурация для меня была:
Name = My Directory (anything you want)
Host = host.local (yes, the .local)
Port = 389
LDAPS = no
Account = (empty)
Password = (empty)
Base DN = DC=host,DC=subdomain,DC=domain,DC=org
On-the-fly user creation = yes
Attributes
Login = uid
Firstname = givenName
Lastname = sN
Email = mail
Имейте в виду, что при создании пользователей на лету на момент написания этой статьи пользователи нужен действующий адрес электронной почты в ldap / opendirectory!
"do_bind: недопустимый dn (корень)"
Вероятно, это означает, что ваш идентификатор пользователя root имеет неправильный формат. Вероятно, вам потребуется указать либо формат выделенного имени, либо формат sAmAccount.
Например, обозначение отличительного имени:
DN = корень, DC = субдомен, DC = домен, DC = com
Это будет работать для пользователя root, который находится в базе вашего каталога поддомена.
Обозначение sAmAccount:
root@subdomain.domain.com
Это проще, потому что он не требует полного пути к DN пользователя root.