Я запускаю виртуальную установку с vSphere с двумя виртуальными машинами, на одной из которых работает CentOS 6, а на другой - Windows server 2008.
Идея состоит в том, чтобы использовать LDAP для подключения из CentOS (в качестве клиента) к Windows Server 2008 (в качестве сервера) и попытки получить оттуда доступ к Active Directory.
Между этими двумя виртуальными машинами существует виртуальный коммутатор, и обе они работают в одной подсети.
В CentOS я пытаюсь запустить LDAP для подключения к серверу Win 2008:
ldapsearch -x
Я получаю следующее сообщение об ошибке:
текст: 000004DC: LdapErr: DSID-0C0906DC, комментарий: Для выполнения этой операции необходимо успешно выполнить привязку соединения., data 0
Тем временем я открыл средство просмотра событий на сервере Windows и получил следующее сообщение об ошибке:
Серверу каталогов не удалось создать объект AD LDS ServiceConnectionPoint в службах Active Directory облегченного доступа к каталогам. Эта операция будет повторена.
Теперь я не совсем уверен, в чем проблема. Могу ли я указать логин администратора в файле CentOS .conf? Если да, то какой?
Или это проблема с разрешением сервера Windows?
Любая помощь очень ценится!
Сообщение об ошибке довольно простое:
text: 000004DC: LdapErr: DSID-0C0906DC, comment: In order to perform this
operation a successful bind must be completed on the connection., data 0
Это означает, что вам необходимо пройти аутентификацию, прежде чем вы сможете запросить каталог. Типичная командная строка будет выглядеть примерно так:
ldapsearch -x -H ldaps://dc.example.com/ -D lars@example.com -W cn=lars
Это соединение с использованием простой аутентификации (-x) к dc.example.com с использованием LDAP через SSL (ldaps://). Я подтверждаю как lars@example.com и команда запросит у меня пароль (-W). Я ищу соответствующие записи cn=lars.
Вы также можете пройти аутентификацию в AD с помощью Kerberos. Предполагая, что все настроено правильно, это выглядит так:
$ kinit lars@example.com
Password for lars@EXAMPLE>COM:
$ ldapsearch -H ldap://dc.example.com cn=lars
В любом случае, вы обычно хотите создать учетные записи специально для использования в качестве учетных данных привязки, а не использовать учетную запись администратора или пользователя.
это возможно для настройки Active Directory для разрешения анонимных привязок. Также можно настроить что-то еще - например, OpenLDAP - как прокси-сервер анонимного связывания для AD.