sAMAccountName requer DOMAIN \ para autenticar

1

Estou tentando integrar o SLES com o servidor de diretório Active do Windows para fins de autenticação.

Precisamos usar sAMAccountName como nome de login, mas não é possível vincular se não fornecermos DOMAIN / sAMAccountName no comando ldapsearch. Mas a janela de login do aplicativo não suporta dar um nome de domínio antes do usuário. Eu configurei o ldap.conf e o krb5.conf para fornecer autenticação. Existe alguma maneira de dar "DOMAIN /" ao início o sAMAccountName como padrão para ligação?

Isso está funcionando bem: ldapsearch -x -LLL -h adserver.customer.entp.tgc -D CUSTOMER \ EXT123456 -w senha -b "dc = cliente, dc = entp, dc = tgc"

Obrigado pelas suas respostas antecipadamente.

nynonur

    
por nynonur 27.05.2016 / 23:09

1 resposta

3

Eu não sei os detalhes do seu aplicativo, mas parece que ele não é compatível com o Active Directory.

Leia a documentação pública para ADS_NAME_TYPE_ENUM .

Esses são os formatos de nome de login com os quais você pode fazer login. "EXT123456" não é um deles.

Eu sei que você acha que "EXT123456" está efetuando login com um sAMAccountName, mas na verdade não é. Veja a documentação novamente. Na verdade, não existe um formato de login válido que se ajuste ao padrão "EXT12345" (ou "johndoe").

Apenas o "nome de usuário" por si só não é um formato de login válido. Bem, na verdade, é um formato de login válido ... para o Nome de exibição do usuário.

O Active Directory tentará resolver isso para um Nome de exibição . ADS_NAME_TYPE_DISPLAY .

Portanto, se você não puder fazer seu aplicativo aceitar um prefixo de domínio ou um sufixo UPN, ou solicitar que seus usuários façam login com seus nomes de exibição ... O Active Directory não supõe apenas que uma string nua "johndoe" seja uma sAMAccountName.

Mas você não está sozinho. A maioria das pessoas presume que fazer login no AD sem prefixo de domínio ou UPN de alguma forma magicamente mapeia para sAMAccountName. Mas isso não acontece. Se você quiser ver como isso funciona sozinho, use ldp.exe e execute ligações simples usando uma conta de usuário cujo nome de exibição seja diferente de seu sAMAccountName e não forneça um nome de domínio. Qual deles te deixa entrar? É o nome de exibição.

    
por 28.05.2016 / 01:08