FreeIPA e sincronização de senha do AD

2

Estou tentando integrar o FreeIPA com o Active Directory para fornecer logon único para usuários do Windows e Linux, seguindo este guia .

Eu criei com sucesso o contrato 'winsync' e carreguei os dados do AD no FreeIPA, mas estou com dificuldades para configurar a Sincronização de Senhas do Windows em esta parte do guia.

Quando um usuário altera sua senha, vejo o seguinte no log do plug-in 389 PassSync no Controlador de domínio:

06/17/16 08:47:32: Backoff time expired.  Attempting sync
06/17/16 08:47:32: Password list has 1 entries
06/17/16 08:47:32: Attempting to sync password for some.user
06/17/16 08:47:32: Searching for (ntuserdomainid=some.user)
06/17/16 08:47:32: Ldap error in QueryUsername
34: Invalid DN syntax
06/17/16 08:47:32: Deferring password change for some.user
06/17/16 08:47:32: Backing off for 1024000ms

Quando executo a consulta da CLI, usando o mesmo usuário e senha usados pelo plug-in do PassSync, ela é bem-sucedida:

$ ldapsearch -x -h ldaps://localhost -p 636 -D 'uid=passsync,cn=sysaccounts,cn=etc,dc=dc,my=domain,dc=com' -w 'password'  -b 'cn=users,cn=accounts,dc=my,dc=domain,dc=com' '(ntuserdomainid=some.user)'

Alguém pode apontar o que estou fazendo errado?

    
por KingBob 20.06.2016 / 12:11

1 resposta

1

Eu percebi isso, vou postar minhas descobertas para ajudar qualquer outra pessoa que tenha um problema semelhante.

No servidor IPA, encontrei o log de 389-ds: /var/log/dirsrv/slapd-HOSTNAME/access

Olhando as entradas no log, notei alguns caracteres extras no DN que corresponde a "Base de Pesquisa". Eu tenho o administrador do Windows para compartilhar sua sessão RDP para o DC e dei uma olhada no registro em HKEY_LOCAL_MACHINE\SOFTWARE\PasswordSync .

Aqui notei os mesmos caracteres na chave "Search Base". Eu acho que esses caracteres extras foram acidentalmente copiados da documentação.

A remoção e o reinício do serviço resolveram o problema.

    
por 21.06.2016 / 09:07