Я пытаюсь разрешить пользователям внешнего сервера приложений на базе Linux аутентифицироваться в службе, используя свои учетные данные Active Directory через LDAPS. Он хорошо работает для учетных записей администратора, но не работает для учетных записей обычных пользователей.
Проблема в том, что для пользователей существует параметр «рабочие станции входа в систему», который запрещает им входить в контроллер домена (DC) (или, скорее, создает ограничение, что они могут входить только на назначенную им рабочую станцию).
Первоначальный запрос LDAP в имени учетной записи службы работает, но в момент, когда выполняется HTTP-аутентификация, служба LDAP отключается от учетной записи службы и пытается выполнить привязку как пользователь. На данный момент это не удается.
Есть ли способ обойти это? Обычной ли практикой является такое ограничение доступа к DC?
Я бы предложил запретить интерактивный / RDP-вход на контроллеры домена с помощью GPO:
«Настройки компьютера / Настройки безопасности / Локальные политики / Назначение прав пользователей / Локальный вход в систему»
Я видел такие проблемы с кастомным / корпоративным ПО и некоторыми Linux-боксами. В этих случаях «Рабочие станции для входа в систему» должны включать контроллеры домена в список разрешенных рабочих станций. Я полагаю, это связано со способом, которым эти системы пытаются аутентифицировать пользователей. См. Пример: https://confluence.atlassian.com/display/CONFKB/Unable+to+Log+in+Because+of+userWorkstations+Attribute+in+Active+Directory
В конце концов проанализируйте журналы Linux и найдите код данных 531 согласно https://primalcortex.wordpress.com/2007/11/28/active-directory-ldap-errors/
Имейте в виду, что атрибут «Пользовательские рабочие станции» имеет ограничения: https://support.microsoft.com/en-us/kb/938458