Я пытаюсь интегрировать FreeIPA с Active Directory, чтобы обеспечить единый вход для пользователей Windows и Linux, выполнив следующие действия. это руководство.
Я успешно создал соглашение «winsync» и загрузил данные AD в FreeIPA, но мне не удается настроить синхронизацию паролей Windows из этот часть руководства.
Когда пользователь меняет свой пароль, я вижу следующее в журнале подключаемого модуля 389 PassSync на контроллере домена:
06/17/16 08:47:32: Backoff time expired. Attempting sync
06/17/16 08:47:32: Password list has 1 entries
06/17/16 08:47:32: Attempting to sync password for some.user
06/17/16 08:47:32: Searching for (ntuserdomainid=some.user)
06/17/16 08:47:32: Ldap error in QueryUsername
34: Invalid DN syntax
06/17/16 08:47:32: Deferring password change for some.user
06/17/16 08:47:32: Backing off for 1024000ms
Когда я запускаю запрос из интерфейса командной строки, используя того же пользователя и пароль, которые используются в плагине PassSync, он выполняется успешно:
$ ldapsearch -x -h ldaps://localhost -p 636 -D 'uid=passsync,cn=sysaccounts,cn=etc,dc=dc,my=domain,dc=com' -w 'password' -b 'cn=users,cn=accounts,dc=my,dc=domain,dc=com' '(ntuserdomainid=some.user)'
Кто-нибудь может указать, что я делаю не так?
Я понял это, я опубликую свои выводы, чтобы помочь всем, у кого есть аналогичная проблема.
На IPA сервере я нашел журнал 389-ds: /var/log/dirsrv/slapd-HOSTNAME/access
Просматривая записи в журнале, я заметил некоторые лишние символы в DN, который соответствует «Search Base». Я попросил администратора Windows поделиться своим сеансом RDP с DC и взглянул на реестр в HKEY_LOCAL_MACHINE\SOFTWARE\PasswordSync.
Здесь я заметил такие же символы в ключе «База поиска». Я думаю, что эти лишние символы были случайно скопированы из документации.
Их удаление и перезапуск службы устранили проблему.